Computer Worm 2 - Secret of Underground Coding

(1)

(2)

Hak Cipta dilindungi Undang-Undang. Dilarang memperbanyak atau memindahkan

sebagian atau seluruh isi buku ini dalam bentuk apapun, baik secara elektronis maupun

mekanis, termasuk memfotocopy, merekam atau dengan sistem penyimpanan lainnya,

tanpa izin tertulis dari Penulis dan Penerbit.

I S B N 9 7 9 - 1 0 9 0 - 0 2 - 5

Cetakan pertama

: Juli 2006

Ketentuan pidana pasal 72 UU No. 19 tahun 2002

1. Barang siapa dengan sengaja dan tanpa hak melakukan kegiatan sebagaimana dimaksud dalam pasal 2 ayat (1) atau pasal 49 ayat (1) dan ayat (2) dipidana dengan pidana penjara paling singkat 1 (satu) bulan dan/atau denda paling sedikit Rp. 1.000.000 (satu juta rupiah) atau pidana penjara paling lama 7 (tujuh) tahun dan/ atau denda paling banyak Rp. 5.000.000.000.00 (lima miliar rupiah).

2. Barang siapa dengan sengaja menyiarkan, memamerkan, mengedarkan, atau menjual kepada umum suatu Ciptaan atau barang hasil pelanggaran Hak Cipta atau Hak Terkait sebagaimana dimaksud pada ayat (1), dipi-dana dengan pidipi-dana penjara paling lama 5 (lima) tahun dan/atau denda paling banyak Rp. 500.000.000,00 (lima ratus juta rupiah)

Publisher

Jasakom

Web Site

http://www.jasakom.com/penerbitan

Email

[email protected]

Address

(3)

(4)

Buku ini disertai dengan sebuah CD pendukung yang berisi film

tutorial sehingga pembaca bukan saja hanya membaca buku tetapi

juga bisa melihat langsung teknik pembuatan suatu worm komputer,

kemudian kumpulan source code / listing code yang digunakan pada

buku dan beberapa program pendukung sebagai berikut:

DEMOWARE

VM Ware

55.9 MB

Virtual PC

17.1 MB

DeepFreeze

2.06 MB

ShadowUser

7.80 MB

ASPack

297 KB

UltraEdit

1.69 MB

FREEWARE

A Squared HijackFree

497 KB

CXUPX

419 KB

Darmal’s Packer

730 KB

DOS 7.10

765 KB

DropFile Script Generator 21.5 KB

HHD Hex Editor

2.07 MB

Icon Sucker Std

658 KB

KillBox

67,5 KB

Petite

117 KB

Process Explorer

1.24 MB

Registrar Lite

2.28 MB

Resource Hacker

1.32 MB

UPX 1.25

163 KB

(5)

KATA PENGANTAR

Seiring dengan pesatnya kemajuan teknologi informasi khususnya

di-bidang teknologi komputer dan jaringan, keamanan menjadi isu yang

kerap kali dibahas, mulai dari ancaman langsung para cracker atau

hacker jahat hingga ancaman yang dilakukan melalui suatu program

yang disebut malcode (malicious code), suatu program atau script

apapun yang bersifat merusak atau merugikan dapat dikategorikan

sebagai malcode termasuk virus komputer, worm atau trojan horse.

Maraknya penyebaran virus, worm atau trojan horse, ternyata semakin

memberikan semangat bagi para pembuat worm lokal untuk terus

berkarya. Di Indonesia sendiri worm lokal mulai menunjukan aktifitas

yang cukup signifikan di awal era millenium, pada tahun 2003 peng

-guna komputer di Indonesia disibukan oleh sebuah worm lokal yang

diperkirakan berhasil menginfeksi ribuan komputer di Indonesia, worm

ini kemudian oleh salah satu perusahaan antivirus terkenal diberi nama

w32/pesin.worm.gen, bersamaan dengan munculnya varian-varian

worm Pesin yang baru, ikut muncul sejumlah worm lokal lainnya

se-perti diberitakan sebuah situs Indonesia yang konsen terhadap malcode,

www.vaksin.com. Bahkan pada saat buku ini ditulis aktifitas worm di

Indonesia semakin meningkat, terbukti dari sejumlah forum, penulis

menemukan beberapa posting yang menunjukan adanya gejala-gejala

penyebaran worm lokal yang baru. Motif yang digunakan semakin

be-ragam, mulai dari hanya sekedar "pamer", sampai dengan pengrusakan

dan pencurian data. Media penyebaran pun semakin canggih mulai

dari disket, USB flash disk sampai dengan jaringan termasuk internet.

Namun satu hal yang pasti, penyebaran worm tersebut telah membawa

(6)

Melanjutkan buku Computer Worm Seri ke-1 yang banyak

mengung-kap teknik-teknik rahasia pembuatan worm komputer, maka pada

seri ke-2 ini akan diberikan trik-trik untuk memerangi worm tersebut

dengan cara membuat suatu program removal (yang biasanya disebut

dengan istilah antivirus), program removal ini akan membersihkan

file launcher dan file infector dengan beberapa metode sekaligus yang

umumnya digunakan oleh antivirus-antivirus profesional, juga

diser-takan teknik menggunakan definition file untuk menampung data

signature suatu program removal. Agar pembaca lebih yakin dan pasti

adanya perbedaan worm komputer dan virus komputer, buku ini juga

memuat teknik pembuatan virus komputer untuk dibandingkan.

Dalam kesempatan ini, penulis mengucapkan terima kasih kepada

kedua orang tua penulis, seluruh dosen POLNES (Politeknik Negeri

Samarinda) khususnya untuk Bapak Ruslan Ardi dan Bapak Arkas

Viddy, kemudian salam penulis untuk alumni SMK Negeri 1 Tarakan

angkatan 95 – 98, dan alumni POLNES angkatan 98 – 2001, salam juga

untuk teman-teman di AMIK PPKIA Tarakan. Tidak lupa pula penulis

mengucapkan terima kasih kepada penerbit Jasakom yang berkenan

menerbitkan buku ini, special thank’s buat S’to yang sudah banyak

membantu dalam proses pembentukan buku.

"Dengan mengetahui, mengerti dan menguasai teknik

pembuatan suatu virus, worm atau malcode lainnya,

sesungguhnya sudah tidak dibutuhkan tutorial lain

untuk memeranginya."

Computer W

(7)

Daftar Isi

KATA PENGANTAR

v

BAB 1 LAUNCHER FILE REMOVAL

1 1.1 WSAR.1 REMOVAL

12 1.1.1 ALGORITMA

12 1.1.2 PEMROGRAMAN

12 1.2 WSAR.2 REMOVAL

17 1.2.1 ALGORITMA

17 1.2.2 PEMROGRAMAN

18 1.3 WSAR.3 REMOVAL

21 1.3.1 ALGORITMA

21 1.3.2 PEMROGRAMAN

22 1.4 WSAR.4 REMOVAL

25 1.4.1 ALGORITMA

25 1.4.2 PEMROGRAMAN

25 1.5 WSAR.5 REMOVAL

29 1.5.1 ALGORITMA

29 1.5.2 PEMROGRAMAN

30 1.6 WSAR.6 REMOVAL

34 1.6.1 ALGORITMA

34 1.6.2 PEMROGRAMAN

35 1.7 WSAR.7 REMOVAL

39 1.7.1 ALGORITMA

39 1.7.2 PEMROGRAMAN

39 1.8 WSAR.8 REMOVAL

44 1.8.1 ALGORITMA

44

(8)

1.9 WSAR.9 REMOVAL

49 1.9.1 ALGORITMA

49 1.9.2 PEMROGRAMAN

49 BAB 2 INFECTOR FILE REMOVAL

57 2.1 FILE NAME SCANNING

65 2.1.1 ALGORITMA

65 2.1.2 PEMROGRAMAN

65 2.1.3 SIGNATURE

72 2.2 STRING SCANNING

73 2.2.1 ALGORITMA

73 2.2.2 PEMROGRAMAN

73 2.2.3 SIGNATURE

78 2.3 CRC SCANNING

89 2.3.1 ALGORITMA

89 2.3.2 PEMROGRAMAN

89 2.3.3 SIGNATURE

95 BAB 3 DEFINITION FILE

103 3.1 ALGORITMA

106 3.2 PEMROGRAMAN

106 3.2.1 FORM1

112 3.2.2 FORM2

116 3.2.3 FORM3

128 BAB 4 PEMROGRAMAN VIRUS

143 4.1 MEMBUAT VIRUS

144 4.1.1 ALGORITMA

144 4.1.2 PEMROGRAMAN

144 4.2 MEMBUAT ANTI VIRUS

149 4.2.1 ALGORITMA

149 4.2.2 PEMROGRAMAN

150 Computer W

(9)

BAB 5 KOMPRESI DENGAN UPX

163 5.1 PERINTAH BARIS

165 5.2 VERSI GUI

167 5.3 PROTEKSI

169 BAB 6 WORM HUNTER TRAINER

171 6.1 KEBUTUHAN SISTEM

172 6.2 INSTALASI

173 6.3 OPERASI DASAR WHT

176 6.3.1 MEMBUAT DISK INFECTOR

177 6.3.2 MEMBERIKAN IJIN PENGINFEKSIAN

178 6.3.3 MENYIMPAN FILE WORM SAMPLER

179 6.3.4 MENGEKSEKUSI WORM SAMPLER

179 6.3.5 MELUMPUHKAN WORM SAMPLER

179 6.3.6 MEMBERSIHKAN SISTEM

180 6.4 SECRET SAMPLER

180 6.5 DEINSTALASI

181 BAB 7 PENUTUP

183 LAMPIRAN

185 REFERENSI

194

(10)

(11)

Bab 1. Laucher File Removal

BAB 1

LAUNCHER FILE REMOVAL

Kenapa bab ini ada?

Selesai dengan pemrograman worm, maka selanjutnya penulis

akan memberikan trik untuk memusnahkan worm-worm

tersebut.

Untuk membuat suatu program removal sedikitnya kita harus

membuat dua rutin utama yaitu rutin untuk mematahkan

serangan file launcher, dan rutin untuk membasmi file

infector.

Bab ini akan menjelaskan trik untuk memberantas file launcher

dari WSar.1 hingga WSar.9, namun jika Anda sudah cukup

memahami isi dari buku pertama, penulis kira seharusnya

Anda sudah tidak akan terlalu mengalami kesulitan untuk

membuat suatu program removal dari worm yang Anda buat

sendiri.

(12)

Bab 1. Laucher File Removal

S

eiring dengan pesatnya perkembangan worm lokal di

Indone-sia, beberapa programmer yang umumnya adalah mahasiswa

ikut berpartisipasi memberantas perkembangan worm tersebut

dengan mengembangkan berbagai program removal. Walaupun

pro-grammer-programmer ini kebanyakan bekerja secara sendiri-sendiri

tetapi program removal yang dihasilkan cukup baik untuk

memberan-tas worm lokal tersebut.

Selain itu banyak sekali program removal profesional yang beredar,

yang biasanya kita sebut dengan istilah antivirus. Program removal

profesional ini walaupun disebut sebagai antivirus tetapi umumnya

adalah program removal untuk beberapa jenis malcode sekaligus, tidak

hanya virus tetapi juga worm, trojan horse, spyware dan malicious tool

lainnya. Program antivirus tersebut antara lain:

1. aVast! AntiVirus

2. AVG Anti-Virus

3. BitDefender Antivirus

4. F-Secure Anti-Virus

5. McAfee VirusScan (terbundel dengan aplikasi McAfee Internet

Security)

6. Norman Virus Control

7. Norton AntiVirus

8. Panda Antivirus

9. Symantec AntiVirus

10. Trend Micro PC Cillin (terbundel dengan aplikasi Trend Micro

Internet Security).

Program removal adalah suatu program yang dirancang untuk

mem-bersihkan suatu malcode tertentu dan umumnya juga mengembalikan

perubahan yang disebabkan oleh malcode tersebut.

(13)

Bab 1. Laucher File Removal

Gejala-gejala abnormal antara lain:

1. System komputer menjadi lambat, karena tingkat penggunaan

pro-cessor dan memory yang besar. Biasanya system akan menampilkan

sebuah kotak pesan "Not Enough Memory" atau "Low Memory",

bahkan system bisa secara tiba-tiba crash/hang

2. Disk drive terakses secara berkala dalam waktu yang singkat, tanpa

adanya instruksi oleh user

3. Konfigurasi berubah tanpa sepengetahuan user, seperti konfigurasi

wallpaper, icon, format huruf, waktu, nama user dan konfigurasi

lainnya

4. Pengaksesan ke aplikasi tertentu tidak bisa dilakukan, seperti

aplikasi Registry Editor, System Configuration Utility, Windows

Task Manager, Display Properties dan lainnya

5. Kapasitas disket, harddisk atau media penyimpanan lainnya

tiba-tiba bertambah atau berkurang tanpa sebab yang jelas. Hal ini

biasanya selalu digunakan worm untuk membuat salinan dirinya

ke disket. Anda cukup memasukan sebuah disket ke disk drive dan

perhatikan perubahan kapasitas disket serta jumlah file yang ada

6. Prilaku yang tidak lazim pada system komputer, seperti

hilang-nya pointer mouse, hilanghilang-nya tombol Startmenu, restart dengan

sendirinya, atau memunculkan teks/gambar/suara aneh lainnya

7. System tiba-tiba mengeksekusi program tertentu, seperti aplikasi

internet browser, aplikasi e-mail atau bahkan program uninstall

untuk aplikasi tertentu

8. File tiba-tiba rusak atau hilang, seperti file dokumen Microsoft

Word, file dokumen Microsoft Excel, file program Registry Editor

dan lain-lain

9. Sistem operasi tidak dapat dioperasikan. Hal ini biasanya disebabkan

karena terhapusnya sebagian file system, konfigurasi system yang

salah, atau saat sistem operasi startup worm kemudian mematikan

kembali sistem operasi tersebut.

(14)

Bab 1. Laucher File Removal

Untuk mengetahui letak file launcher ini, cara yang paling mudah

dilakukan adalah memeriksa metode launcher yang umumnya

digu-nakan worm agar tereksekusi setiap Windows startup, adapun metode

launcher tersebut antara lain:

1. Konfigurasi Registry. Saat Windows startup system akan mengek

-sekusi setiap program yang terdaftar pada key Run, RunOnce,

RunOnceEx, RunServices dan RunServicesOnce. Key registry ini

terdapat pada hive HKCU (hive key current user) dan HKLM (hive

key local machine).

Metode launcher ini paling banyak digunakan oleh worm lokal,

sebagai contoh worm dasar yang menggunakan metode ini adalah

WSar.2, WSar.5, WSar.7, WSar.8 dan WSar.9. Selain itu ada juga

yang memanfaatkan ekstensi file tertentu (Shell Spawning) sebagai

metode launcher, contohnya adalah WSar.6, metode ini juga

me-manfaatkan konfigurasi registry

2. Konfigurasi file startup. Saat Windows startup system juga akan

mengeksekusi file tertentu yang ada pada konfigurasi file seperti

autoexec.bat, win.ini, system.ini dan wininit.ini, contohnya dapat

Anda temukan pada WSar.3

3. Direktori StartUp. Lokasi default direktori StartUp berbeda-beda

pada sistem operasi Windows, tetapi Anda bisa mendapatkan

lokasi default direktori tersebut pada data registry:

HKEY_CUR-

RENT_USER\Software\Microsoft\Windows\CurrentVersion\Ex-plorer\User Shell Folders, dengan value "Startup", contohnya dapat

Anda temukan pada WSar.1 dan WSar.4

4. Pemanfaatan aplikasi lain. Umumnya worm memanfaatkan aplikasi

terjadwal seperti ScreenSaver dan Scheduled Task yang dapat

men-jalankan file program, metode launcher ini paling sedikit digunakan

oleh worm writer.

Untuk memeriksa setiap metode launcher tersebut Anda bisa secara

manual membuka aplikasi Registry Editor, file startup, direktori

(15)

Bab 1. Laucher File Removal

Selain itu software A Squared HijackFree ini juga mampu

menampil-kan aplikasi yang sedang terproses.

Tampilan aplikasi

A Squared

Hijack-Free setelah

ber-hasil dieksekusi:

Setelah mengetahui letak dari file

launcher worm, tugas selanjutnya

adalah menghentikan proses dari

file launcher tersebut jika ter

-proses.

Untuk versi sistem operasi

Win-dows 2000 atau versi yang lebih

tinggi, hal ini dapat kita lakukan

dengan mengeksekusi aplikasi

Windows Task Manager dengan

langkah-langkah sebagai berikut:

(16)

Bab 1. Laucher File Removal

2. Klik Tab Processes, pastikan CheckBox Show processes from all

users terseleksi dengan memberinya tanda checklist

3. Klik kanan pada nama proses worm, kemudian pilih End Processes

Tree.

Worm yang cerdik tidak akan membiarkan Anda mengakses aplikasi

ini dengan mudah, untuk itu Anda dapat menggunakan aplikasi lain

seperti aplikasi Process Explorer yang memiliki kesamaan fungsi.

Tampilan aplikasi Process

Explorer setelah berhasil

dieksekusi

Demikian pula dengan aplikasi Registry Editor, kebanyakan worm

lokal memblokir aplikasi ini dengan memanipulasi suatu nilai registry

yang tidak mengijinkan user menggunakan fasilitas ini, atau worm

memblokir aplikasi tersebut dengan cara langsung menutup aplikasi

atau men-disable jendela aplikasi tersebut.

(17)

Bab 1. Laucher File Removal

Tampilan aplikasi

Registrar

Lite

setelah

berhasil

dieksekusi

Langkah terakhir adalah menghapus file launcher tersebut dan meng

-hapus konfigurasi worm sehubungan dengan metode launcher yang

digunakan, baik pada konfigurasi registry, file startup atau yang lain

-nya.

Selanjutnya akan diberikan contoh pembersihan file launcher untuk

Worm Dasar yang telah diotomasikan menjadi suatu program removal,

namun sebelumnya berikut ini adalah project default WSar Removal

yang akan digunakan untuk setiap contoh program removal:

(18)

Bab 1. Laucher File Removal

Properti object Form1

Jenis

Nilai

Keterangan

Name

FrmRemoval

Mengatur nama form dari menjadi

FrmRemoval

BackColor

&H00E0E0E0&

Mengatur warna latar belakang

menjadi abu-abu muda

BorderStyle

Fixed Single

Mengatur jenis border form menjadi

tetap (fixed)

Caption

Simple Worm

Remover

Mengatur titel yang akan

ditampil-kan pada form

Height

2040

Mengatur tinggi form

Icon

(Icon)

Pilih icon yang akan digunakan pada

form, FrmRemoval menggunakan

icon sun.ico

MaxButton

False

Tidak menampilkan tombol

maxi-mize

MinButton

False

Tidak menampilkan tombol

mini-mize

StartUpPosition 2 - Center Screen

Menempatkan jendela form ditengah

layar pada saat load

Width

6105

Mengatur lebar form

Properti object Label1

Jenis

Nilai

Keterangan

Name

lblTitle1

Mengatur nama Label menjadi lblTitle1

Allignment

2 - Center

Mengatur jenis perataan menjadi rata

tengah

BackStyle

Transparent

Mengatur jenis latar belakang menjadi

transparan

Caption

WSar Launcher

Removal

(19)

Bab 1. Laucher File Removal

Font

Font: MS San Serif

Font Style: Bold

Size: 24

Mengatur jenis huruf MS San Serif,

model huruf tebal dan ukuran huruf 24

ForeColor

&H00808080&

Mengatur warna huruf menjadi

abu-abu

Height

615 Mengatur tinggi Label

Left

150 Mengatur jarak Label dari kiri

Top

150 Mengatur jarak Label dari atas

Width

5800

Mengatur lebar Label

Properti object Label2

Jenis

Nilai

Keterangan

Name

lblTitle2

Mengatur nama Label menjadi lblTitle2

Allignment

2 - Center

Mengatur jenis perataan menjadi rata

tengah

BackStyle

Transparent

Mengatur jenis latar belakang menjadi

transparan

Caption

WSar Launcher

Removal

Mengatur caption Label menjadi WSar

Launcher Removal

Font

Font: MS San Serif

Font Style: Bold

Size: 24

Mengatur jenis huruf MS San Serif,

model huruf tebal dan ukuran huruf 24

ForeColor

&H00FFFFFF&

Mengatur warna huruf menjadi putih

Height

615 Mengatur tinggi Label

(20)

Bab 1. Laucher File Removal

Properti object Label3

Jenis

Nilai

Keterangan

Name

lblStatus

Mengatur nama Label menjadi lblStatus

BackColor

&H00000000&

Mengatur warna latar belakang menjadi

hitam

Caption

Kosongkan caption dengan menghapus

caption default Label3

ForeColor

&H0000FFFF& Mengatur warna huruf menjadi kuning

Height

275 Mengatur tinggi Label

Left

120 Mengatur jarak Label dari kiri

Top

720 Mengatur jarak Label dari atas

Width

5775

Mengatur lebar Label

Properti object Check1

Jenis

Nilai

Keterangan

Name

chkShield

Mengatur nama CheckBox menjadi

chkShield

BackColor

&H00E0E0E0&

Mengatur warna latar belakang menjadi

abu-abu muda

Caption

Shield

Mengatur caption CheckBox menjadi Shield

Height

495 Mengatur tinggi CheckBox

Left

120 Mengatur jarak CheckBox dari kiri

Top

1080

Mengatur jarak CheckBox dari atas

Width

1695

Mengatur lebar CheckBox

Properti object Command1

Jenis

Nilai

Keterangan

Name

cmdProcess

Mengatur nama Command Button menjadi

cmdProcess

(21)

Bab 1. Laucher File Removal

Height

375 Mengatur tinggi Command Button

Left

4920

Mengatur jarak Command Button dari kiri

Top

1080

Mengatur jarak Command Button dari atas

Width

975 Mengatur lebar Command Button

Properti object Command2

Jenis

Nilai

Keterangan

Name

cmdTray

Mengatur nama Command Button menjadi cmdTray

Caption

Tray

Mengatur caption Command Button menjadi Tray

Height

375 Mengatur tinggi Command Button

Left

3945

Mengatur jarak Command Button dari kiri

Top

1080

Mengatur jarak Command Button dari atas

Width

975 Mengatur lebar Command Button

Properti object Timer1

Jenis

Nilai

Keterangan

Name

tmrShield

Mengatur nama Timer menjadi tmrShield

Enable

False

Pastikan Timer tidak aktif saat form di-load

Interval

500 Setiap instruksi pada procedure Timer akan

dieksekusi setiap 0.5 detik

(22)

Bab 1. Laucher File Removal

1.1 WSAR.1 REMOVAL

Program removal ini berfungsi untuk membersihkan file launcher

WSar.1 dari system komputer.

1.1.1 ALGORITMA

1. Melakukan pemeriksaan terhadap eksistensi WSar.1 pada direktori

StartUp dengan nama file 'System File.exe’

2. Jika file launcher WSar.1 ditemukan, maka akan menghentikan

proses file launcher kemudian menghapus file tersebut

3. Program removal mampu melakukan pemeriksaan secara

ber-kesinambungan dan menampilkan icon pada system tray.

1.1.2 PEMROGRAMAN

Tambahkan 2 buah Module kemudian atur properti untuk

masing-masing module sebagai berikut:

Properti Module1

Jenis

Nilai

Keterangan

Name

mdlWinExit

Mengatur nama module menjadi mdlWinExit

Properti Module2

Jenis

Nilai

Keterangan

Name

mdlTray

Mengatur nama module menjadi mdlTray

(23)

Bab 1. Laucher File Removal

Option Explicit On

Declare Function SendMessage Lib "user32" Alias _

"SendMessageA" (ByVal hwnd As Long, ByVal wMsg As Long, _ ByVal wParam As Long, ByVal lParam As Any) As Long

uCallBackmessage As Long hIcon As Long

Declare Function Shell_NotifyIcon Lib "shell32" Alias _

"Shell_NotifyIconA" (ByVal dwMessage As Long, ByVal pnid As _ NOTIFYICONDATA) As Boolean

Global nid As NOTIFYICONDATA Dim arrLongConversion(4) As Long Dim arrSplit64(63) As Byte Dim lngTrack As Long

Const OFFSET_4 = 4294967296.0#, MAXINT_4 = 2147483647, _ S11 = 7, S12 = 12, S13 = 17, S14 = 22, S21 = 5, S22 = 9, _ S23 = 14, S24 = 20, S31 = 4, S32 = 11, S33 = 16, S34 = 23, _ S41 = 6, S42 = 10, S43 = 15, S44 = 21

Sub AddToTray(ByVal TrayIcon, ByVal TrayText As String, ByVal _ TrayForm As Form)

nid.cbSize = Len(nid) nid.hwnd = TrayForm.hwnd nid.UID = vbNull

(24)

Bab 1. Laucher File Removal

TrayForm As Form) nid.cbSize = Len(nid) nid.hwnd = TrayForm.hwnd nid.UID = vbNull

nid.uFlags = NIF_ICON Or NIF_TIP Or NIF_MESSAGE nid.uCallBackmessage = WM_MOUSEMOVE

nid.hIcon = TrayIcon

nid.szTip = TrayText & vbNullChar Shell_NotifyIcon(NIM_MODIFY, nid) End Sub

Function RespondToTray(ByVal x As Single) On Error Resume Next

Sub ShowFormAgain(ByVal TrayForm As Form) TrayForm.Show()

End Sub

Sub RemoveFromTray()

Shell_NotifyIcon(NIM_DELETE, nid) End Sub

Ketik kode program berikut ini pada object frmRemoval:

'WSar.1 Removal by Achmad Darmal 'Tarakan, Kalimantan Timur - Indonesia Option Explicit On

Private Sub Form_Load()

lblStatus.Caption = "WSar.1 Removal - Ready ..." End Sub

Private Sub chkShield_Click() If chkShield.Value = Checked Then tmrShield.Enabled = True cmdProcess.Enabled = False

lblStatus.Caption = "Shield Enabled - Monitoring Worm Activity" Else

tmrShield.Enabled = False lblStatus.ForeColor = &HFFFF& cmdProcess.Enabled = True

(25)

Bab 1. Laucher File Removal

CheckWorm() End Sub

Private Sub cmdTray_Click()

If chkShield.Value <> Checked Then

If MsgBox("Shield is disabled, enable it now?", vbYesNo + _ vbInformation) = vbYes Then

chkShield.Value = Checked End If

End If

If chkShield.Value = Checked Then

AddToTray(Me.Icon, "WSar Removal - Shield Enable", Me) Else

AddToTray(Me.Icon, "WSar Removal - Shield Disable", Me) End If

End Sub

Private Sub form_MouseMove(ByVal Button As Integer, ByVal _ Shift As Integer, ByVal x As Single, ByVal Y As Single) If RespondToTray(x) > 0 Then

If lblStatus.ForeColor = &HFFFF& Then lblStatus.ForeColor = &H0&

If Len(Dir$("C:\WINDOWS\Start Menu\Programs\StartUp\Syst" & _ "em File.exe")) <> 0 Then WinExit("System File.exe")

MsgBox("WSar.1 found! And will be removed", vbExclamation + _ vbSystemModal)

(26)

Bab 1. Laucher File Removal

Berikut penjelasan tentang kode program, dan untuk selanjutnya

procedure yang telah dijelaskan tidak diberikan lagi, kecuali beberapa

bagian yang menurut penulis perlu untuk diulang kembali.

Procedure Form_Load memiliki tugas sederhana, yaitu mengatur

caption pada lblStatus menjadi "

WSar.1 Removal - Ready ...

"

Procedure chkShield_Click akan dijalankan saat user mengklik CheckBox

chkShield pada form, kemudian jika CheckBox chkShield ter-check

maka mengatur nilai properti Enabled pada tmrShield menjadi true,

ni-lai properti Enabled pada cmdProcess menjadi false dan mengatur nini-lai

caption lblStatus menjadi "

Shield Enabled - Monitoring Worm Activity

".

Sebaliknya jika CheckBox chkShield tidak ter-check maka mengatur

ni-lai properti Enabled pada tmrShield menjadi false, nini-lai ForeColor pada

lblStatus menjadi &HFFFF& (warna kuning), nilai properti Enabled

pada cmdProcess menjadi true dan mengatur nilai caption lblStatus

menjadi "

Shield Disabled - Waiting For Instruction

".

Procedure cmdProcess_Click akan dijalankan saat user mengklik

tombol Process. Secara sederhana procedure ini hanya memanggil

procedure CheckWorm. Tujuan penulis membuat procedure ini adalah

agar mudah untuk dikembangkan lagi.

Procedure cmdTray_Click akan dijalankan saat user mengklik tombol

Tray, kemudian jika CheckBox chkShield tidak ter-check maka akan

menampilkan suatu kotak pesan

"Shield is disabled, enable it now?"

dan

jika user mengklik tombol Yes maka mengatur nilai chkShield menjadi

ter-check.

Jika nilai chkShield adalah ter-check maka procedure menggunakan

function AddToTray untuk menyisipkan program pada system tray

dengan menggunakan icon form aktif dan dengan ToolTipText

"WSar Removal - Shield Enable"

, sebaliknya procedure menggunakan

function AddToTray dengan menggunakan icon form aktif dan dengan

ToolTipText

"WSar Removal - Shield Disable"

.

(27)

Bab 1. Laucher File Removal

Procedure tmrShield_Timer aktif setiap 0.5 detik, jika nilai ForeColor

pada Label lblStatus adalah &HFFFF& (warna kuning) maka mengatur

ForeColor pada Label lblStatus menjadi &H0& (warna hitam),

seba-liknya jika tidak maka mengatur ForeColor pada Label lblStatus

menjadi &HFFFF&, instruksi ini akan melakukan pergantian warna

pada teks setiap 0.5 detik, sehingga teks tersebut akan terlihat blinking

(berkedip), procedure ini juga mengeksekusi procedure CheckWorm.

Pada procedure CheckWorm, jika file 'C:\WINDOWS\Start Menu\

Programs\StartUp\System File.exe’ ditemukan maka

memang-gil procedure RemoveWorm, jika tidak ditemukan maka jika nilai

chkShield tidak ter-check procedure akan menampilkan kotak pesan

"WSar.1 Not Found"

.

Procedure RemoveWorm akan menghentikan proses file 'System File.exe’

yang merupakan file launcher dari WSar.1 kemudian menampilkan

kotak pesan "

WSar.1 found! And will be removed

", kemudian menghapus

file 'C:\WINDOWS\Start Menu\Programs\StartUp\System File.exe’,

kemudian kembali memeriksa file tersebut, jika ditemukan maka me

-nampilkan kotak pesan "

WSar.1 can not removed

" dan mengatur nilai

chk-Shield menjadi tidak ter-check. Sebaliknya jika tidak ditemukan maka

procedure menampilkan kotak pesan "

WSar.1 succesfully removed

".

Module mdlTray merupakan sekumpulan function API yang berfungsi

untuk menempatkan program pada system tray dan beberapa function

pendukung lainnya.

1.2 WSAR.2 REMOVAL

Program removal ini berfungsi untuk membersihkan file launcher

WSar.2 dari system komputer.

(28)

Bab 1. Laucher File Removal

2. Jika file launcher WSar.2 ditemukan, maka menghentikan proses

file launcher kemudian menghapus file tersebut.

3. Mengembalikan dan menghapus nilai registry yang dimanipulasi

WSar.2

4. Program removal mampu melakukan pemeriksaan secara

ber-kesinambungan, dan menampilkan icon pada system tray.

1.2.2 PEMROGRAMAN

Tambahkan 2 buah Module kemudian atur properti untuk

masing-masing module sebagai berikut:

Properti Module1

Jenis

Nilai

Keterangan

Name

mdlWinExit

Mengatur nama module menjadi mdlWinExit

Properti Module2

Jenis

Nilai

Keterangan

Name

mdlTray

Mengatur nama module menjadi mdlTray

Untuk module mdlWinExit Anda bisa menggunakan module yang

sama pada WSar.6 dan module mdlTray dengan module yang sama

pada WSar.1 Removal, kemudian ketik kode program berikut ini pada

object frmRemoval.

(29)

Bab 1. Laucher File Removal

lblStatus.Caption = "Shield Disabled - Waiting For Instruction" End If

End If

End Sub

Private Sub form_MouseMove(ByVal Button As Integer, ByVal Shift As _ Integer, ByVal x As Single, ByVal Y As Single)

If RespondToTray(x) > 0 Then

kiddie = CreateObject("scripting.filesystemobject") sysfolder = kiddie.GetSpecialFolder(1)

(30)

Bab 1. Laucher File Removal

Private Sub RemoveWorm() On Error Resume Next Dim kiddie As Object Dim sysfolder As Object

WinExit("winfake.exe")

Kill(sysfolder & "\winfake.exe")

If Len(Dir$(sysfolder & "\winfake.exe")) <> 0 Then MsgBox("WSar.2 can not removed", vbCritical) chkShield.Value = Unchecked

Else

ReConfig()

MsgBox("WSar.2 succesfully removed", vbExclamation) End If

End Sub

Function RegStrDel(ByVal HiveAndKey As String) Dim newbie As Object

newbie = CreateObject("Wscript.Shell") newbie.regdelete(HiveAndKey)

End Function

Function RegDword(ByVal HiveAndKey As String, ByVal Value As Integer) Dim newbie As Object

newbie = CreateObject("Wscript.Shell")

newbie.regwrite(HiveAndKey, Value, "REG_DWORD") End Function

Private Sub ReConfig() On Error Resume Next

RegDword("HKCU\Software\Microsoft\Windows\CurrentVersi" & _ "on\Policies\System\DisableRegistryTools", 0)

RegStrDel("HKLM\Software\Microsoft\Windows\CurrentVersi" & _ "on\Run\windll")

End Sub

Berikut penjelasan tentang kode program

:

Procedure Form_Load memiliki tugas sederhana, yaitu mengatur

cap-tion pada lblStatus menjadi "

WSar.2 Removal - Ready ...

"

Pada procedure CheckWorm, jika file 'winfake.exe’ ditemukan pada

(31)

Bab 1. Laucher File Removal

Procedure RemoveWorm akan menghentikan proses file 'winfake.exe’

yang merupakan file launcher dari WSar.2 kemudian menampilkan

kotak pesan "

WSar.2 found! And will be removed

", kemudian menghapus

file 'winfake.exe’ pada direktori System Windows. Setelah itu, kem

-bali memeriksa file tersebut, jika ditemukan maka menampilkan kotak

pesan "

WSar.2 can not removed

" dan mengatur nilai chkShield menjadi

tidak ter-check, sebaliknya jika tidak ditemukan maka procedure

me-nampilkan kotak pesan "

WSar.2 succesfully removed

".

Function RegStrDel dan RegDword merupakan function yang

meng-gunakan file scripting object, masing-masing berfungsi untuk mengha

-pus key pada registry dan mengatur nilai dengan jenis DWORD pada

registry.

Procedure ReConfig memanipulasi nilai registry dengan mengubah

nilai data 'DisableRegistryTools’ menjadi 0, dan menghapus nilai

reg-istry "HKLM\Software\Microsoft\Wind ows\CurrentVersion\Run\

windll" yang mana nilai registry ini akan mengaktifkan worm setiap

kali Windows startup.

1.3 WSAR.3 REMOVAL

Program removal ini berfungsi untuk membersihkan file launcher

WSar.3 dari system komputer.

1.3.1 ALGORITMA

1. Melakukan pemeriksaan terhadap eksistensi WSar.3 pada direktori

System Windows dengan nama file 'winword.exe’

2. Jika file launcher WSar.3 ditemukan, maka menghentikan proses

file launcher kemudian menghapus file tersebut

3. Menghapus perubahan pada file 'win.ini’ yang dimanipulasi

(32)

Bab 1. Laucher File Removal

1.3.2 PEMROGRAMAN

Tambahkan 3 buah Module kemudian atur properti untuk

masing-masing module sebagai berikut:

Properti Module1

Jenis

Nilai

Keterangan

Name

mdlWinExit

Mengatur nama module menjadi mdlWinExit

Properti Module2

Jenis

Nilai

Keterangan

Name

mdlTray

Mengatur nama module menjadi mdlTray

Properti Module3

Jenis

Nilai

Keterangan

Name

mdlFileIni

Mengatur nama module menjadi mdlFileIni

Untuk module mdlWinExit, Anda bisa menggunakan module yang

sama pada WSar.6, module mdlTray dengan module yang sama pada

WSar.1 Removal dan module mdlFileIni dengan module yang sama

pada WSar.3, kemudian ketik kode program berikut ini pada object

frmRemoval.

(33)

Bab 1. Laucher File Removal

Private Sub cmdProcess_Click() CheckWorm()

End Sub

Private Sub cmdTray_Click()

End If

End Sub

Private Sub form_MouseMove(ByVal Button As Integer, ByVal Shift As Integer, _

ByVal x As Single, ByVal Y As Single) If RespondToTray(x) > 0 Then

MainFile = sysfolder & "\" & "winword.exe"

If Len(Dir$(MainFile, vbHidden + vbReadOnly + vbSystem)) <> 0 _ Then

SetAttr(MainFile, vbNormal) RemoveWorm()

(34)

Bab 1. Laucher File Removal

Private Sub RemoveWorm() Dim kiddie As Object Dim sysfolder As Object Dim MainFile As String

MainFile = sysfolder & "\" & "winword.exe" WinExit("winword.exe")

kiddie = CreateObject("scripting.filesystemobject") winfolder = kiddie.GetSpecialFolder(0)

writeini("WINDOWS", "Run", " ", winfolder & "\" & "win.ini") End Sub

Berikut penjelasan tentang kode program

:

Procedure Form_Load memiliki tugas sederhana, yaitu mengatur

cap-tion pada lblStatus menjadi "

WSar.3 Removal - Ready ...

"

Pada procedure CheckWorm, jika file 'winword.exe’ dengan atribut

Hidden, Read only dan System ditemukan pada direktori System

Win-dows maka mengatur atribut file tersebut menjadi Normal kemudian

memanggil procedure RemoveWorm, jika tidak ditemukan maka jika

nilai chkShield tidak ter-check, procedure akan menampilkan kotak

pesan "

WSar.3 Not Found

".

Procedure RemoveWorm akan menghentikan proses file 'winword.exe’

yang merupakan file launcher dari WSar.3 kemudian menampilkan

kotak pesan "

WSar.3 found! And will be removed

", kemudian menghapus

file 'winword.exe’ pada direktori System Windows. Setelah itu kem

-bali memeriksa file tersebut, jika ditemukan maka menampilkan kotak

(35)

Bab 1. Laucher File Removal

Procedure ReConfig memanipulasi file konfigurasi "win.ini" pada sec

-tion Windows dan key "Run", dengan value yang dikosongkan (penulis

hanya menambahkan sebuah karakter spasi ).

1.4 WSAR.4 REMOVAL

Program removal ini berfungsi untuk membersihkan file launcher

WSar.4 dari system komputer.

1.4.1 ALGORITMA

1. Mendapatkan direktori default startup, dari registry

2. Melakukan pemeriksaan terhadap eksistensi WSar.4 pada direktori

StartUp dengan nama file 'WINLOGIN.EXE’

3. Jika file launcher WSar.4 ditemukan, maka menghentikan proses

file launcher kemudian menghapus file tersebut

4. Mengembalikan dan menghapus nilai registry yang dimanipulasi

WSar.4

5. Menghapus direktori StartUp yang dibuat oleh WSar.4

6. Program removal mampu melakukan pemeriksaan secara

ber-kesinambungan, dan menampilkan icon pada system tray.

1.4.2 PEMROGRAMAN

Tambahkan 3 buah Module kemudian atur properti untuk

masing-masing module sebagai berikut:

Properti Module1

(36)

Bab 1. Laucher File Removal

Properti Module2

Jenis

Nilai

Keterangan

Name

mdlTray

Mengatur nama module menjadi mdlTray

Properti Module3

Jenis

Nilai

Keterangan

Name

mdlRegistryAPI

Mengatur nama module menjadi

mdlRegis-tryAPI

Untuk module mdlWinExit Anda bisa menggunakan module yang

sama pada WSar.6, module mdlTray dengan module yang sama pada

WSar.1 Removal dan module mdlRegistryAPI dengan module yang

sama pada WSar.4, kemudian ketik kode program berikut ini pada

object frmRemoval.

Private Declare Function GetWindowsDirectory Lib "kernel32" _ Alias "GetWindowsDirectoryA" (ByVal lpBuffer As String, _ ByVal nSize As Long) As Long

Private Declare Function GetSystemDirectory Lib "kernel32" Alias _ "GetSystemDirectoryA" (ByVal lpBuffer As String, ByVal nSize _ As Long) As Long

Private SF As String * 255

Function SpecialFolder(ByVal value) On Error Resume Next

Dim FolderValue As String If value = 0 Then

FolderValue = Left(SF, GetWindowsDirectory(SF, 255)) End If

If value = 1 Then

FolderValue = Left(SF, GetSystemDirectory(SF, 255)) End If

If Right(FolderValue, 1) = "\" Then

FolderValue = Left(FolderValue, Len(FolderValue) - 1) End If

(37)

Bab 1. Laucher File Removal

Private Sub chkShield_Click() If chkShield.value = Checked Then tmrShield.Enabled = True cmdProcess.Enabled = False

If chkShield.value <> Checked Then

chkShield.value = Checked End If

End If

If chkShield.value = Checked Then

End Sub

Private Sub form_MouseMove(ByVal Button As Integer, ByVal Shift As _ Integer, ByVal x As Single, ByVal Y As Single)

If RespondToTray(x) > 0 Then

If lblStatus.ForeColor = &HFFFF& Then lblStatus.ForeColor = &H0& Else

lblStatus.ForeColor = &HFFFF& End If

(38)

Bab 1. Laucher File Removal

Private Sub CheckWorm() On Error Resume Next

Dim MainFolder, MainFile As String

MainFolder = SpecialFolder(0) & "\Config\StartUp" MainFile = MainFolder & "\" & "WINLOGIN.EXE" If Len(Dir$(MainFile, vbReadOnly)) <> 0 Then SetAttr(MainFile, vbNormal)

Dim MainFolder, MainFile As String

MainFolder = SpecialFolder(0) & "\Config\StartUp" MainFile = MainFolder & "\" & "WINLOGIN.EXE" WinExit("WINLOGIN.EXE")

Kill(MainFile)

If Len(Dir$(MainFile, vbReadOnly)) <> 0 Then MsgBox("WSar.4 can not removed", vbCritical) chkShield.value = Unchecked

Else

ReConfig()

End Sub

If Len(Dir$(SpecialFolder(0) & "\Start Menu\Programs\StartUp", _ vbDirectory)) <> 0 Then

SetStringValue("HKEY_CURRENT_USER\Software\Microsoft" & _ "\Windows\CurrentVersion\Explorer\User Shell Folders", _ "Startup", SpecialFolder(0) & "\Start Menu\Programs\StartUp") Else

SetStringValue("HKEY_CURRENT_USER\Software\Microsoft" & _ "\Windows\CurrentVersion\Explorer\User Shell Folders", _ "Startup", "%USERPROFILE%\StartMenu\Programs\Startup") End If

RmDir(SpecialFolder(0) & "\Config\StartUp") End Sub

Berikut penjelasan tentang kode program

:

(39)

Bab 1. Laucher File Removal

Pada procedure CheckWorm, jika file 'WINLOGIN.EXE’ dengan

atribut Read only ditemukan pada direktori Windows dan pada sub

direktori "\Config\StartUp" maka mengatur atribut file tersebut men

-jadi Normal kemudian memanggil procedure RemoveWorm, jika tidak

ditemukan maka jika nilai chkShield tidak ter-check, procedure akan

menampilkan kotak pesan "WSar.4 Not Found".

Procedure

RemoveWorm

akan

menghentikan

proses

file

'WINLOGIN.EXE’ yang merupakan file launcher dari WSar.4 kemu

-dian menampilkan kotak pesan "

WSar.4 found! And will be removed

",

kemudian menghapus file 'WINLOGIN.EXE’ pada direktori System

Windows dan pada sub direktori "\Config\StartUp". Setelah itu kem

-bali memeriksa file tersebut, jika ditemukan maka menampilkan kotak

pesan "

WSar.4 can not removed

" dan mengatur nilai chkShield menjadi

tidak ter-check, sebaliknya jika tidak ditemukan maka procedure

me-nampilkan kotak pesan "WSar.4 succesfully removed".

Pada procedure ReConfig, jika direktori Windows dan sub direktori

"\Start Menu\Programs\StartUp" ditemukan maka memanipulasi

ni-lai registry "Startup" pada key "HKEY_CURRENT_USER\Software\

Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders"

dengan nilai berupa direktori Windows dan sub direktori "\Start

Menu\Programs\StartUp", sebaliknya jika tidak ditemukan maka

memanipulasi nilai registry "Startup" dengan nilai data

"%USERPRO-FILE%\StartMenu\Programs\Startup", setelah itu menghapus

direk-tori StartUp pada direkdirek-tori Windows dan sub direkdirek-tori "\Config".

1.5 WSAR.5 REMOVAL

Program removal ini berfungsi untuk membersihkan file launcher

WSar.5 dari system komputer.

(40)

Bab 1. Laucher File Removal

3. Jika file launcher WSar.5 ditemukan, maka menghentikan proses

file launcher kemudian menghapus file tersebut

4. Mengembalikan dan menghapus nilai registry yang dimanipulasi

WSar.5

5. Program removal mampu melakukan pemeriksaan secara

ber-kesinambungan dan menampilkan icon pada system tray.

1.5.2 PEMROGRAMAN

Tambahkan 3 buah Module kemudian atur properti untuk

masing-masing module sebagai berikut:

Properti Module1

Jenis

Nilai

Keterangan

Name

mdlWinExit

Mengatur nama module menjadi mdlWinExit

Properti Module2

Jenis

Nilai

Keterangan

Name

mdlTray

Mengatur nama module menjadi mdlTray

Properti Module3

Jenis

Nilai

Keterangan

Name

mdlRegistryAPI

Mengatur nama module menjadi

mdlRegis-tryAPI

Untuk module mdlWinExit Anda bisa menggunakan module yang

sama pada WSar.6, module mdlTray dengan module yang sama pada

WSar.1 Removal dan module mdlRegistryAPI dengan module yang

sama pada WSar.4, kemudian ketik kode program berikut ini pada

object frmRemoval.

(41)

Bab 1. Laucher File Removal

'Tarakan, Kalimantan Timur - Indonesia Option Explicit On

Private Declare Function GetWindowsDirectory Lib "kernel32" _ Alias "GetWindowsDirectoryA" (ByVal lpBuffer As String, _ ByVal nSize As Long) As Long

Private Declare Function GetSystemDirectory Lib "kernel32" Alias _ "GetSystemDirectoryA" (ByVal lpBuffer As String, ByVal nSize _ As Long) As Long

Private SF As String * 255

If value = 1 Then

SpecialFolder = FolderValue End Function

Private Sub Form_Load() Me.Caption = App.EXEName App.Title = App.EXEName

(42)

Bab 1. Laucher File Removal

End Sub

Private Sub form_MouseMove(ByVal Button As Integer, _ ByVal Shift As Integer, ByVal x As Single, ByVal Y As Single) If RespondToTray(x) > 0 Then

Dim MainFolder, MainFile As String MainFolder = SpecialFolder(0) & "\Config" MainFile = MainFolder & "\" & "system32.exe"

If Len(Dir$(MainFile, vbHidden + vbSystem + vbReadOnly)) <> 0 _ Then

Dim MainFolder, MainFile As String MainFolder = SpecialFolder(0) & "\Config" MainFile = MainFolder & "\" & "system32.exe" WinExit("system32.exe")

Kill(MainFile)

If Len(Dir$(MainFile, vbHidden + vbSystem + vbReadOnly)) <> 0 _ Then

MsgBox("WSar.5 can not removed", vbCritical) chkShield.value = Unchecked

Else

ReConfig()

(43)

Bab 1. Laucher File Removal

DeleteKey("HKEY_LOCAL_MACHINE\Software\Microsoft\W" & _ "indows\CurrentVersion\App Paths\LoadPowerProfile.EXE") SetDWORDValue("HKEY_CURRENT_USER\Software\Micro" & _

"soft\Windows\CurrentVersion\Explorer\Advanced", "Hidden", 1) SetDWORDValue("HKEY_CURRENT_USER\Software\Micro" & _

"soft\Windows\CurrentVersion\Explorer\Advanced", _ "HideFileExt", 0)

SetDWORDValue("HKEY_CURRENT_USER\Software\Micro" & _ "soft\Windows\CurrentVersion\Explorer\Advanced", _ "SuperHidden", 0)

SetDWORDValue("HKEY_CURRENT_USER\Software\Micro" & _ "soft\Windows\CurrentVersion\Explorer\Advanced", _ "ShowSuperHidden", 1)

SetDWORDValue("HKEY_CURRENT_USER\Software\Micro" & _ "soft\Windows\CurrentVersion\Explorer\Advanced", _ "ClassicViewState", 0)

SetDWORDValue("HKEY_CURRENT_USER\Software\Micro" & _ "soft\Windows\CurrentVersion\Explorer\CabinetState", _ "FullPath", 0)

End Sub

Berikut penjelasan tentang kode program

:

Procedure Form_Load melakukan instruksi yang mengatur caption

form dan title aplikasi dengan menggunakan nama file utama dan

title aplikasi menjadi nama file, hal ini disebabkan caption default-nya

adalah "

Simple Worm Remover

" yang prosesnya secara otomatis akan

diakhiri oleh WSar.5 karena mengandung string "remov".

Jadi dalam hal ini Anda bisa menyimpannya dengan nama file yang

berbeda, procedure kemudian mengatur caption pada lblStatus

men-jadi "

WSar.5 Removal - Ready ...

"

Pada procedure CheckWorm jika file 'system32.exe’ dengan atribut

Hidden, Read only dan System ditemukan pada direktori Windows

dan pada sub direktori "\Config" maka mengatur atribut file tersebut

menjadi Normal kemudian memanggil procedure RemoveWorm, jika

tidak ditemukan maka jika nilai chkShield tidak ter-check, procedure

akan menampilkan kotak pesan "

WSar.5 Not Found

".

(44)

Bab 1. Laucher File Removal

direktori "\Config". Setelah itu, kembali memeriksa file tersebut, jika

ditemukan maka menampilkan kotak pesan "

WSar.5 can not removed

"

dan mengatur nilai chkShield menjadi tidak ter-check, sebaliknya

jika tidak ditemukan maka procedure menampilkan kotak pesan

"

WSar.5 succesfully removed

".

Procedure ReConfig memanipulasi nilai registry dengan menghapus

key "HKEY_LOCAL_MACHINE\Software\Micr osoft\Windows\

CurrentVersion\App Paths\LoadPowerProfile. EXE", mengubah nilai

data 'Hidden’ pada key

"HKEY_CURRENT_USER\Software\Micro-soft\Windows\CurrentVersion\Explorer\Advanced" menjadi 1, dan

pada key yang sama mengubah nilai data 'HideFileExt’ menjadi 0, data

'SuperHidden’ menjadi 0, data 'ShowSuperHidden’ menjadi 1, data

'ClassicViewState’ menjadi 0 dan nilai data 'FullPath’ menjadi 0.

1.6 WSAR.6 REMOVAL

Program removal ini berfungsi untuk membersihkan file launcher

WSar.6 dari system komputer.

1.6.1 ALGORITMA

1. Mendapatkan direktori default startup, dari registry

2. Melakukan pemeriksaan terhadap eksistensi WSar.6 pada direktori

System Windows dengan nama file 'loadsys.exe’

3. Jika file launcher WSar.6 ditemukan, maka menghentikan proses

file launcher kemudian menghapus file tersebut

4. Mengembalikan manipulasi registry yang dilakukan WSar.6 dan

sekaligus menghapus file worm yang ada pada shared folder

aplikasi peer to peer

(45)

Bab 1. Laucher File Removal

1.6.2 PEMROGRAMAN

Tambahkan 3 buah Module kemudian atur properti untuk

masing-masing module sebagai berikut:

Properti Module1

Jenis

Nilai

Keterangan

Name

mdlWinExit

Mengatur nama module menjadi mdlWinExit

Properti Module2

Jenis

Nilai

Keterangan

Name

mdlTray

Mengatur nama module menjadi mdlTray

Properti Module3

Jenis

Nilai

Keterangan

Name

mdlRegistryAPI

Mengatur nama module menjadi

mdlRegis-tryAPI

Untuk module mdlWinExit Anda bisa menggunakan module yang

sama pada WSar.6, module mdlTray dengan module yang sama pada

WSar.1 Removal dan module mdlRegistryAPI dengan module yang

sama pada WSar.4, kemudian ketik kode program berikut ini pada

object frmRemoval.

(46)

Bab 1. Laucher File Removal

If value = 1 Then

SpecialFolder = FolderValue End Function

If chkShield.value <> Checked Then

chkShield.value = Checked End If

End If

End Sub

Private Sub form_MouseMove(ByVal Button As Integer, _ ByVal Shift As Integer, ByVal x As Single, ByVal Y As Single) If RespondToTray(x) > 0 Then

ShowFormAgain(Me) RemoveFromTray() End If

(47)

Bab 1. Laucher File Removal

MainFile = SpecialFolder(1) & "\" & "loadsys.exe" If Len(Dir$(MainFile)) <> 0 Then

MainFile = SpecialFolder(1) & "\" & "loadsys.exe" WinExit("loadsys.exe")

End Sub

SetStringValue("HKEY_CLASSES_ROOT\exefile\shell\open\c" & _ "ommand", "", Chr(34) & Chr(37) & Chr(49) & Chr(34) & " " & _ Chr(37) & Chr(42))