Disclaimer
Review ini ditujukan hanya sekedar informasi saja. Penulis tidak bertanggungjawab atas penyalahgunaan materi yang ada pada tulisan ini.
Pendahuluan
Sebenarnya tulisan ini sudah lama ingin saya buat, namun selalu terkendala pada banyaknya hal yang harus dikerjakan (maklum, pengangguran banyak acara). Nah, singkat cerita, saya melihat posting di beberapa forum tentang AV lokal baru bernama MaleoAV. Karena penasaran, akhirnya saya mengunduh aplikasi MaleoAV tersebut selama beberapa jam karena koneksi saya yang up to 1 kbps :D . Jadi intinya, saya hanya akan mereview salah satu bagian penting dari MaleoAV yaitu cara pendeteksiannya. Berhubung saya tidak memiliki Windows® jadi saya hanya merevie bagian itu saja. Sebelum melanjutkan ke tahap selanjutnya, mari kita berdoa dulu.
Langkah-langkah
Hal yang harus dilakukan pertama setelah mengunduh MaleoAV adalah mengekstraknya karena aplikasi tersebut di-pack menggunakan WinRAR®. Ok, mari kita ekstrak file berukuran 8,5 MB tersebut. Prosesnya bisa dilihat pada screenshot berikut ini:
Setelah proses mengekstrak selesai, ternyata yang ada di dalam arsip rar tersebut adalah installer MaleoAV yang kemungkinan besar dibuat dengan Package And Deployment Wizard dari aplikasi VB. Ok, dari beberapa file tersebut, yang perlu kita ekstrak adalah file MaleoAV.CAB. Untuk mengekstraknya, saya menggunakan aplikasi cabextract seperti pada gambar berikut ini:
Whew, ternyata setelah diekstrak, ukurannya totalnya menjadi 16 MB. MaleoAV sendiri ukurannya 6,7 MB lalu diikuti oleh ActiveX flash dan ActiveX lainnya. Ukuran beberapa file bisa dilihat pada gambar berikut:
Pada screenshot di atas bisa terlihat bahwa kemungkinan besar file database.db merupakan file yang berisi signature virus yang digunakan oleh MaleoAV. Coba kita periksa:
Ternyata benar. Oh iya, menurut pembuatnya, signature yang digunakan untuk mengenali virus menggunakan algoritma CRC32. Nah, di sinilah timbul masalah. Jika sebuah aplikasi polymorphic sederhana mampu mengubah dirinya setiap kali melakukan replikasi, maka CRC32 ini akan sulit mendeteksinya. Untuk membuktikannya, saya sengaja membuat script perl sederhana untuk menghitung CRC32 dari sebuah file. Berikut ini adalah CRC32 dari sample maxtrox yang sempat saya peroleh:
Sekarang saya akan membuka sample maxtrox tersebut menggunakan hex editor. Coba perhatikan offset 0×50 pada screenshot berikut:
Pada gambar di atas bisa dilihat bahwa byte pada offset yang dimaksud adalah 0×39. Ok, sekarang byte tersebut akan saya ubah menjadi 0×36 agar CRC32 file sample tersebut berubah.
nah, setelah melakukan perubahan 1 byte tersebut maka CRC32 dari file sample maxtrox akan berbeda, seperti yang bisa dilihat pada gambar berikut ini:
Jadi intinya adalah, virus / malware yang menggunakan metode polymorphic walaupun sederhana akan cukup menyulitkan pendeteksian oleh MaleoAV (menurut pendapat saya). Inti dari sebuah antivirus menurut saya adalah engine yang digunakan. Walaupun tampilan sebuah antivirus itu sangat intuitif, namun jika engine yang digunakan kurang bagus, maka antivirus tersebut akan jarang digunakan oleh user.
Penutup
Demikian artikel review sederhana ini, semoga bisa bermanfaat untuk para pembaca sekalian. Sampai jumpa pada artikel selanjutnya. Terima kasih atas atensinya :)
Jadi artinya maleoAV ini termasuk antivirus yang buruk?
Kalau soal penilaian baik atau buruk, hanya user yang bisa menilai menurut pendapat masing2. ada baiknya jangan hanya melihat dari satu sisi saja, soalnya pada maleoAV tersebut masih ada beberapa fungsi yang belum sempat saya test…
#1,
Yup, betul apa yang dikatakan oleh bro drubicza. Jelek atau tidak itu user review :) Dan satu lagi yang mungkin perlu diperhatikan, tidak ada av yang sempurna bro :D
thanks atas reviewnya
Awal pembuatan aplikasi ini mungkin biasanya dalam membersihkan virus saya lakukan secara manual, selain itu saya juga tertarik dengan dunia malware. pikir saya kenapa tidak dibuat Tugas Akhir saja…
Setelah mencari2 informasi tentang pemrograman AV, akhirnya saya buatkan sebuah aplikasi AV sederhana
jujur saja ini adalah kali pertama saya mengembangkan sebuah Antivirus beserta segala tools yang ada. Waktu study yang semakin mepet dan berjibaku dengan hal lain maka saya melakukan upload dan perkenalan di beberapa forum bermaksud mendapatkan feedback tentang apa saja yang kurang dan bermasalah (maklum saya nubi sebagai programmer AV & VB jg tidak ada rekan yang mengerti). Dari banyak feedback tersebut saya simpan dan saya respon karena memang banyak sekali bugnya,dan beberapa kali saya upload ulang meski masih ada beberapa kemampuan yang belum jalan semestinya (saya thanks banget atas konfirmasi dan dukungannya yg diluar dugaan). Dan dari semua itu adalah bekal saya untuk maju ke meja pengujian…
termasuk metode deteksi yang masih menggunakan crc32, benar itu akhirnya menjadi PR untuk MaleoAV. Sebenarnya cukup lama saya sudah mempersiapkan script menggunakan md5 dan juga metode heuristic internal command vb, folder, ekstension dan perilaku malware lainnya. Namun sayang sekali lagi2 kena lampu kuning dari bos(-_-), saya pending pengaplikasiannya yang harus membongkar dan mengubah konsep scanning engine lagi.
Mungkin setelah saya maju, setelah waktu kembali mengendur, akan saya rilis lagi MaleoAV versi selanjutnya dengan themes yang baru dan tentunya kemampuan yang diperbaiki ^^
Dari tugas saya ini terselip pula harapan saya membantu memerangi malware lokal meski dari sebuah AV sederhanapun…
asalkan ada manfaatnya maka saya cukup senang sembari fokus kembali agar ujian meja saya berlangsung lancar
untuk reviwer2 & downloader, matur nuwun atas dukungannya. Tidak ada kemajuan tanpa mengetahui suatu kekurangan.
thanks all…(^_^)/~
*ngetik lagi……. -_-;
tambah :
mohon maaf atas segala kekurangannya (_ _#)