Hai sobat virologger apa kabar ?

Ok. Kamu tahukan apa itu common vbs virus heuristic ? Yup itu benar, mencari string “wscript.scriptfullname” pada file berekstensi *.vbs maupun *.vbe. Lalu bagaimanakah cara agar teknik heuristic ini di bypassing.

Tak perlu bersusah payah, karena ternyata kini telah ada software untuk mengenkripsi vbs secara keseluruhan (sekaligus dengan kode perintah script-nya) dengan metode enkripsi rotate. Sedangkan untuk membypass metode vbs emulator, coba enkripsi dua kali atau tiga kali dan empat kali juga boleh script vbs yang telah terenkripsi. Yaitu dengan VBScript ROTCryptor yang dapat kamu download di alamat download softwares pralabs:

http://www.prasetyolabs.co.cc/downloads.html.

Berikut aku experiment dengan script vbs:

MsgBox(“Hello Virologger!”)

Setelah itu klik button ROTXCrypt.

Lihatlah, bahkan perintah MsgBox dan string “Hello Virologger!” tak terlihat.
Coba buka menu Run dan klik sub menu Start.
Maka script vbs tadi akan jalan seperti berikut.

Oh yak, kalau kamu pengen acak variabelnya tinggal klik button Randomize Variable pada saat sebelum enkripsi. Quotation mark dan nilai rotated bisa diubah sesuka hati.

Sebenernya VBScript ROTCryptor tidak ditunjukan untuk memfasilitasi pembuatan malware bagi para underground karena ditunjukan dengan adanya algoritma PRAVGramming yang mencegah kamu untuk membuat malware (virus ataupun worm) vbs. Tapi bisa diakali dengan cara mendelete file pravg.cpp yang terdapat dalam folder yang sama dengan vbsrtc.exe untuk mendapatkan previlege programmer atau security tester.