VB VIRUS / WORM Tanpa MSVBVM60.DLL

sumber : http://echonono.blogspot.com

Cara mudah untuk menggagalkan proses aplikasi yang dibuat dari bahasa Visual Basic 6.0 adalah dengan menghapus file runtime msvbvm60.dll pada direktori System Windows, ini adalah file dynamic link library dari Microsoft Visual Basic Virtual Machine versi 6.0(msvbvm50.dll untuk VB 5.0, mscoree.dll untuk VB.Net).

Cara ini kemudian menjadi populer dan keberhasilannya sungguh tidak terbantahkan. Beberapa email kemudian masuk ke mailbox Penulis dan menanyakan hal yang serupa, “Mas Darmal yang cakep dan baik hati (kalimat yang terdengar merdu ini Penulis tambah sendiri :)), apakah bisa suatu VB worm dapat tetap berjalan walaupun file msvbvm60.dll terhapus? atau adakah cara untuk mencegah user menghapus file msvbvm60.dll tersebut?”. Pertanyaan ini akhirnya “menggelitik” Penulis untuk melakukan serangkaian percobaan, akhirnya Penulis menyimpulkan bahwa worm yang dibuat dalam bahasa Visual Basic 6.0 tetap memerlukan file msvbvm60.dll, tapi jangan khawatir karena selalu ada cara untuk mengakalinya.

1. DIRECT PROTECTION
Saat aplikasi berbasis Visual Basic tereksekusi dan aktif pada memory maka tidak ada satu carapun yang bisa dilakukan untuk menghapus file msvbvm60.dll tanpa terlebih dahulu mematikan proses aplikasi tersebut, jika user mencoba untuk menghapus file msvbvm60.dll melalui Windows Explorer maka sistem akan segera menampilkan sebuah kotak pesan sebagai berikut.

Pada Windows 98 dan ME user juga tidak dapat mengubah nama (rename) ataupun memindah file (move), namun pada Windows 2000 dan XP, user walaupun tidak mampu untuk menghapus file msvbvm60.dll tapi tetap dengan mudah dapat mengubah nama atau memindah ke folder lain, hal ini akan menggagalkan proses aplikasi Visual Basic tersebut pada eksekusi berikutnya. Untuk mencegah user menghapus atau memindah file msvbvm60.dll ini pada Windows 2000 ataupun XP maka file tersebut harus berada pada kondisi terbuka, lalu bagaimana cara membuka file yang notabene bukan dokumen tersebut? Penulis mengutip sedikit teknik pada buku Computer Worm 1 yaitu membuka atau membaca file msvbvm60.dll tersebut sebagai file binary ataupun text, perhatikan 2 contoh code Visual Basic berikut ini.

1. Open c:\windows\system32\msvbvm60.dll For Binary Access Read As #1
2. Open c:\windows\system32\msvbvm60.dll For Input As #1

Selama code tersebut tidak menutupnya dengan statement Close #1 maka file msvbvm60.dll tersebut tidak akan dapat dihapus, diubah nama ataupun dipindah tempatkan, namun jika user tetap nekat untuk mencoba mengubah nama ataupun memindah file msvbvm60.dll melalui Windows Explorer maka sistem akan segera menampilkan kotak pesan sebagai berikut.