GeeKzLife.Net ‘Cuti’ sehingga diberitahu..

Assalamualaikum…

Aktiviti web termasuk update GVR ‘bercuti’ sehingga diberitahu kerana komputer saya sudah rosak. Komponen yang rosak adalah processer dan motherboard :(. Bajet untuk tujuan nak membaik pulih komputer masih samar lagi.

Oleh itu, sesiapa yang ingin memberi sumbangan kepada saya amatlah dialukan. Kepada mereka yang memberi sumbangan dan yang telah memberi sumbangan, bila komputer saya dan OK balik, insyaAllah jika tiada aral melintang, saya akan memberikan cenderahati iaitu GVR 4.2 Special Edition khas kepada anda sebagai tanda terima kasih saya. kepada sesiapa yang ingin memberi sumbangan boleh lah contact saya melalui email: shahrir1999 [at] yahoo.com

Sumbangan anda amat dihargai..

Perisian menghalang window daripada shutdown atau restart

Assalamualaikum..

Ada sesetengah malware melindungi dirinya dengan cara men-shutdown atau restart-kan pc apabila ada ‘aktiviti’ yang boleh mengugat dirinya. Jadi perisian ini adalah salah satu alat yang mesti ada untuk menghadapi malware jenis ini terutama untuk membuang malware secara manual.

Perisian yang saya maksudkan adalah ShutdownGuard. Perisian ini adalah open-source, untuk download, boleh lah ke laman web ini: http://code.google.com/p/shutdownguard

Cara Menganalisis File PDF yang meragukan..

Assalamualaikum..

Saya sekarang sedang belajar berkenaan dengan shellcode. Ingat nak buat satu tutorial untuk cara menganalisis pdf file yang meragukan, tapi terjumpa pula video tutorial dari Team Norwegian Honeynet Project. Jadi tak perlulah saya buat tutorial tersebut. Lagi pun video tutorial ini lebih lengkap. Selamat menonton:  Analysing malicious PDF documents and shellcode.

Simple Polymorphic Worm

Assalamualaikum..

Beberapa hari lepas saya ada menerima satu sample worm yang bernama “J3MbataN_K4HaYan”. Seperti biasa, selepas terima sample, saya terus membuat statik signature (MD5) dan mengujinya.

Bila diuji, saya dapati ada duplikasi worm ini tidak dapat dikesan(detect) oleh GVR. Saya terus membuka hexeditor dan membezakan kedua-dua sample, yang dapat dikesan dan yang tak dapat dikesan. Gambar dibawah menunjukkan result perbezaan:

Daripada gambar tersebut, kita boleh lihat hanya satu bit sahaja yang berubah. Tapi ia membuatkan enjin pengesan yang menggunakan statik signature seperti Md5, CRC32, SHA-1, tidak dapat mengesan worm ini. Seperti mana yang anda tahu, satu bit sahaja yang berubah boleh merubah nilai Hash.

Oleh kerana itu, saya membuat signature untuk enjin kedua GVR dan worm jenis ini tidak akan terlepas lagi.

Saya sudah beberapa kali mendapat sample malware yang mengunakan teknik polymorphic, tapi sample yang ini adalah contoh teknik polymorphic yang cukup senang untuk melepasi (bypass) enjin detection jenis statik.

Walaupun teknik polymorphic jenis ini mudah untuk diaturcarakan, tapi masih banyak malware yang masih tidak menggunakan teknik ini. Jadi, Enjin pengesan statik masih relevan. Salah satu sebab lainnya adalah enjin ini laju.

p/s: Jika ada kesilapan teori  atau apa sahaja mengenai artikel ini, sila laporkan pada saya. Kerana artikel ini ditulis tanpa rujukan.

usbcillin.exe?

Assalamualaikum…

Ada pengunjung GeeKzLife yang meminta saya menganalisis file usbcillin.exe. Saya menggunakan MyKotakPasir untuk menganalisis secara automatik file tersebut. Report boleh di lihat DISINI.

Berdasarkan report dari MyKotakPasir, software ini tidaklah ‘merosakkan’. Setelah men’google’ mengenai software ini, saya menjumpai laman web : http://www.rajat.com.np/usbcillin.html. Laman web tersebut juga menyediakan batch file untuk membuang software ini dari komputer anda, download disini: http://www.rajat.com.np/remove_USBcillin.bat .