PCMAV Express for Sality

Pusing dengan ulah Sality (alias Kuku/Sector) virus yang mengusung teknologi canggih dan bersifat polymorphic ini? Sudah menggunakan cleaner/removal tool khusus yang dikeluarkan vendor antivirus komersial ternama namun file yang terinfeksi malah rusak dibuatnya? Atau Anda sering terkecoh dengan berbagai analisa blackbox virus ala amatiran yang sering disiarkan sebuah distributor lokal antivirus luar negeri yang turut juga menjajakan layanan jasa antivirus (namun kurang pandai dalam menganalisis virus komputer)?

Tunggu kehadiran PCMAV Express for Sality, satu-satunya antivirus unggulan dan terbaik di dunia yang dibuat khusus untuk tuntas dan akurat mendeteksi dan membasmi Sality sampai ke akar-akarnya, serta dilengkapi kemampuan ajaib untuk memulihkan file yang terinfeksi tanpa merusaknya. PCMAV Express for Sality merupakan sub-produk dari PCMAV, antivirus kebanggaan Indonesia.

Update (9 Agustus 2009): PCMAV Express for Sality beta2 telah dapat di-download dengan meng-klik gambar di atas. Di rilis beta ini sebanyak 4 varian Sality jenis polymorphic (PCMAV Express: 302/304/309/400; Avira: .L/.Q/.s; NOD: .NAC/.NAE/.NAJ/.NAM) telah dapat diatasi dengan tuntas, kecuali tentunya file yang telah rusak terinfeksi akibat bug/kesalahan dari virus ini yang menimpa tabel/data penting header PE dan mustahil untuk diperbaiki. Sedangkan 4-6 varian lain dari Sality yang berjenis metamorphic (Avira: .J/.Y/.AA; NOD: .NAO/.NAR/.NAU; Kaspersky: .z/.aa) walau dapat dideteksi, namun butuh waktu yang tidak sebentar untuk mengerjakan dan testing rutin disinfek virus di file, memory, dan di konfigurasi sistem. Status beta akan kami cabut jika seluruh 4-6 varian metamorphic yang kami miliki telah selesai dianalisa. Dan kami jamin, tidak ada satupun antivirus di dunia ini yang sanggup mengatasi Sality jenis polymorphic sehandal dan setuntas PCMAV. Kami harapkan hal yang sama akan dapat dilakukan pada Sality jenis metamorphic.
Varian virus Sality polymorphic (302/304/309/400) ini termasuk kompleks penanganannya, dan saat ini telah melalui tahapan akhir analisis. PCMAV Express for Sality beta2 telah mencapai hasil akhir. Tahapan selanjutnya adalah penelitian dan analisis Sality jenis metamorphic, yang jauh lebih kompleks dari jenis polymorphic, yang saat ini ditemukan sebanyak 6 varian di Indonesia.
Tidak seperti antivirus khusus Sality yang dihasilkan vendor ternama, PCMAV Express ini terbukti sebagai satu-satunya antivirus yang mampu “membunuh” virus Sality polymorphic di memory, sekalipun Windows dalam keadaan aktif normal dengan tanpa memerlukan safe boot sama sekali (yang juga mustahil dilakukan karena Sality mencegah hal ini). Selain itu, file yang terinfeksi dapat dipulihkan kembali walau virus ini memiliki kemampuan mengecoh dalam menginfeksi file .EXE dan .SCR. Semua antivirus yang tidak menyadari hal ini dijamin akan salah dan gagal total dalam memulihkan file yang terinfeksi.
Dari keempat varian Sality tersebut, hanya 302 yang menampilkan pesan dari pembuatnya. Kami juga telah berhasil melumpuhkan file induk virus Sality-302 untuk dibuatkan demonya, sehingga Anda pun kini bisa menikmati secara langsung tampilan Sality-302 ketika beraksi tanpa perlu takut terinfeksi. Klik gambar di bawah ini untuk men-download file demonya.

Gambar 1 – Setiap tanggal 1 Mei dan waktu jam menit menunjukkan angka yang sama (misal: 10:10), Sality-302 akan menampilkan pesannya dengan terlebih dahulu menggelapkan layar monitor dengan efek garis tipis hitam. Tunggu demonya yang berasal langsung dari file induk virus Sality-302 yang telah dilumpuhkan.

Dan berikut ini cuplikan hasil analisis Sality-400 sementara dari kami:

Gambar 2 – String yang ditemukan di tubuh virus Sality-400 setelah berhasil di-extract dan di-decrypt.

Gambar 3 – Rutin virus Sality-400 dalam mengembalikan nilai asli entry point file yang terinfeksi agar nantinya, setelah virus menyelesaikan awal tugasnya sebagai decryptor dan extractor, kendali dapat diserahkan kembali ke file tersebut.

Gambar 4 – Inilah cuplikan salah satu rutin misterius dari virus Sality-400 penyebab semua antivirus luar ternama dapat gagal total membersihkan dan malah merusak file yang terinfeksi.

Gambar 5 – Buggy code yang ditemukan di rutin penginfeksian virus Sality-400. Ditujukan untuk menyalakan bit flag section file yang akan diinfeksi, namun cara yang digunakan tidak lazim (SUB). Jika pembuat virus ini lebih berpengalaman dalam pemrograman Assembly, tentu dia akan memilih operasi OR dibanding SUB.

Gambar 6 – Buggy code lain yang ditemukan. Tujuan awal rutin ini adalah melakukan penyesuaian ukuran section baru jika ditemukan RawSize lebih besar atau sama dengan VirtualSize dan nilainya ditaruh di variabel section_size. Hasil di section_size akan digunakan untuk VirtualSize yang baru. Namun, entah mengapa, pada akhirnya kalkulasi hasil dari rutin ini, termasuk nilai di section_size maupun di SectionVirtualSz, sama sekali tidak pernah digunakan, malah ditimpa oleh rutin kalkulasi ukuran yang lainnya.

Gambar 7 – Inilah cuplikan rutin utama virus Sality-400 yang menerapkan teknik multithread dalam melakukan hooking process, infeksi file, sekaligus aktif sebagai Windows services.

———————

CATATAN: Bagi Anda yang merasa komputernya terinfeksi Sality, mohon untuk mengirim sampel file yang terinfeksi ke redaksi dengan di-ZIP dan password untuk dianalisa. Dikarenakan dari informasi yang ada bahwa Sality ini memiliki begitu banyak varian di dunia, maka kami ingin lebih memastikan varian mana yang banyak beredar di Indonesia. Hal ini penting demi akurasi pendeteksian dan pembersihan total.

Update (21-Des-2009): Saat ini analisa lanjutan untuk virus Sality-Metamorphic kami tunda, begitu juga kelanjutan pengembangan PCMAV Express for Sality. Hal ini dikarenakan kami memprioritaskan proyek Ragnarok, Predator, dan Pasopati. Namun demikian, dengan teknologi emulator yang juga sedang dikembangkan untuk proyek Predator, dapat kami pastikan bahwa PCMAV nantinya akan mampu mendeteksi dan memulihkan 100% file yang terinfeksi virus Sality-Metamorphic ini. Maaf atas ketidaknyamanan ini.

credit: virusindonesia.com