Awalnya saya terinspirasi dari seseorang pengguna Morphost yang mengirimi saya sebuah email yang isinya mengatakan bahwa dia senang dengan Morphost Antivirus. Dia pun sempat mengatakan bahwa semua koleksi atau malware vbs yang dia buat telah terdeteksi.
Tapi sayang, saya lupa siapa nama pengirimnya.
Setelah membalas emailnya, saya menjadi terus teringat-ingat malware vbs. Malware vbs yang sekarang ini telah menjadi bulan-bulanan antivirus lokal tampaknya harus diperjuangkan hidupnya.
Entah kenapa, tiba-tiba saya merasa harus menghidupkan kembali malware-malware script ini. Akhirnya saya pun berinisiatif untuk mengecek kembali seluruh code morphost yang berkaitan dengan scanning malware vbs.
Ternyata, saya menemukan satu kelemahan pada code Morphost dalam mendeteksi file vbs!!! Kelemahan yang fatal sekali!!!! SANGAT FATAL!!!
Lalu saya menguji beberapa antivirus lokal papan atas lainnya, apakah mereka juga melakukan hal fatal yang sama? Dan ternyata saya menemukan Smadav dan Pcmav. (saya sengaja menyebutkan nama kedua av ini secara lengkap supaya terindex di mesin pencarian.) Nanti saya akan jelaskan kenapa harus kedua av ini. Yang jelas intinya, Morphost, smadav dan pcmav melakukan hal yang fatal sekali.
Tujuan artikel ini saya tulis adalah untuk memberitahukan pada antivirus-antivirus lokal supaya memperbaiki antivirusnya dalam scanning vbs sekaligus membagikan trik agar virus vbs dapat lolos dari antivirus lokal.
Begini:
Coba kamu ketik “MZTOP” pada sebuah notepad lalu save dengan ekstensi vbs!!!
Coba jalankan!!! Apa yang muncul??? Yang muncul adalah ERROR.
Nah, sekarang coba ketikkan kode berikut:
MZTOP
Sub MZTOP()
Msgbox “Tess”
End Sub
Setelah kamu ketik keempat baris code tersebut, jalankan lah!!
Maka akan muncul pesan yang isinya “Tess”
Kenapa harus “MZTOP”? Sebenarnya tidak harus kata itu. Terserah kata apa saja, asal harus diawali “MZ”. Saya yakin semua sudah tahu file apa yang biasanya scriptnya diawali “MZ”. Jadi tidak perlu lagi saya tuliskan disini. Ntar kesannya seolah-olah mengajari…
Artinya begini, kode “Msgbox” itu boleh kamu gantikan dengan script virus kamu…
Dan coba lah scan!!! Separah apapun string atau script code virus yang kamu pakai, tidak akan terdeteksi.
Kamu bisa buktikan sendiri…
Ada lima antivirus yang saya uji…
Kelima antivirus tersebut adalah Morphost, Pcmav, Ansav, Smadav dan CMC.
Lima antivirus ini saya uji pada 5 file virus vbs yang tergolong “GOOD DETECTION”. Sekitar beberapa minggu yang lalu saya dikirimi banyak malware vbs. Saya lupa siapa pengirimnya. Yang jelas dari sekian banyak file vbs disitu, ada satu folder yang dinamai “GOOD DETECTION”
Dan hasilnya sebagai berikut. (maaf, saya tidak menampilkan screenshot-nya)
-Morphost = 5 (100%)
-Pcmav = 5 (100%)
-Smadav = 5 (100%)
-Ansav = 2 (40%)
-CMC = 0 (0%)
Karena CMC tidak mendeteksi satupun file vbs-nya, jadi saya tidak mengikutsertakan CMC pada tes ini. Dan saya akan menguji Morphost, Pcmav dan Smadav terlebih dahulu. Ansav mendapat giliran paling terakhir.
Bagaimana pengujiannya?
Saya masukkan kode berikut:
MZTOP
Sub MZTOP()
End Sub
Tiga baris kode yang fatal.
Masukkan kode tersebut pada awal script virus, maka malware tersebut bakal lolos dari deteksi.
Saya sudah coba. Dan saya masukkan kode tersebut pada 2 file saja. Lihat hasil berikut ini.
Ketiga antivirus tersebut hanya mendeteksi 3 dari 5 malware vbs saja.
Ini merupakan hal yang sangat fatal!! Malware vbs yang dianggap rendahan selama ini mampu lolos!!!!!!
Untungnya saya sudah melakukan perbaikan segera pada Morphost. Morphost terbaru yang kebetulan belum dirilis sudah mampu mengatasi masalah in!
Dengan Morphost terbaru 5 dari 5 file malware vbs terdeteksi!
Semoga para programmer pcmav dan smadav serta programmer antivirus lokal lain menanggapi hal ini. Terima kasih.
Sekian
By:Morphic Karta
http://www.morphostlab.com
http://www.morphostlab.co.nr
