Banyak jalan untuk bisa menyebarkan virus, dan salah satunya adalah memanfaatkan celah kemanan pada file PDF. Sebenarnya celah keamanan yang terdapat pada file PDF sudah ditambal, tetapi masih banyak jalan untuk menyisipkan script ke dalam file PDF. Kode JavaScript yang disusupkan pada file PDF tersebut biasanya akan disertakan pada email, dimana nantinya penerima email langsung membuka file PDF yang sudah terinfeksi virus tersebut.
Celah keamanan ini memang akan menunggu trigger, dimana file PDF bisa meng-embed JavaScript dalam filenya, sehingga scanning yang terdapat pada antivirus tidak bisa mendeteksi. Hingga sekarang jutaan file PDF telah tersebar di internet. Jadi sebaiknya berhati-hatilah dalam membuka file PDF dari sumber yang sama sekali tidak jelas.
Bila anda ingin mengetahui bagaimana virus tersebut bisa menyusup pada file PDF, anda bisa melakukan beberapa analisa dengan menggunakan tool PDFStreamDumper. PDFStreamDumper mampu menganalisa file PDF dan tool ini dikembangkan oleh Sandsprite David Zimmer. Dia telah menambahkan cukup banyak fungsi yang berguna ke dalam tool ini.
Untuk melacak Trojan pada file PDF, silahkan anda lakukan caranya seperti berikut ini :
1. Sekarang buka file PDF menggunakan PDFStreamDumper dan klik Exploits Scan dari menu bar.
2. Terus Scrol kebawah pada aliran code, kita dapat melihat sekelompok karakter hex. Ini terlihat seperti shellcode. Kita dapat menyimpan aliran didekompresi ke file teks dengan mengklik kanan pada objek pada bagian kiri.
3. Atau, kita dapat memilih kode hex dan tekan control-c pada keyboard. Selanjutnya klik Load dari menu utama kemudian klik File Shellcode.
4. Maka akan muncul jendela baru, bagian kosong sehingga bisa di paste kode hex. Disini perlu memberitahu program bahwa ini adalah hex jadi dipilih karakter, kemudia klik pada Add % to HexString di bawah menu Manual_Escapes. Karena ini dianggap menjadi shellcode, kita dapat menggunakan pilihan di bawah menu Shellcode_Analysis. Mungkin anda ingin membuang shellcode menggunakan 3 (tiga) pilihan atas tapi itu tidak akan berhasil. Sekarang mari kita lihat bila itu adalah XOR yang terenkripsi, pilih karakter hex kemudian pilih Xor_Bruteforcer.
5. Akhirnya hal ini dienkripsi menggunakan kunci XOR dari OxFO. Periksa executable dengan antivirus, maka itu akan terdeteksi sebagai bank Trojan.
Nah itulah cara melacak Trojan pada file PDF, selamat mencoba.
Celah keamanan ini memang akan menunggu trigger, dimana file PDF bisa meng-embed JavaScript dalam filenya, sehingga scanning yang terdapat pada antivirus tidak bisa mendeteksi. Hingga sekarang jutaan file PDF telah tersebar di internet. Jadi sebaiknya berhati-hatilah dalam membuka file PDF dari sumber yang sama sekali tidak jelas.
Bila anda ingin mengetahui bagaimana virus tersebut bisa menyusup pada file PDF, anda bisa melakukan beberapa analisa dengan menggunakan tool PDFStreamDumper. PDFStreamDumper mampu menganalisa file PDF dan tool ini dikembangkan oleh Sandsprite David Zimmer. Dia telah menambahkan cukup banyak fungsi yang berguna ke dalam tool ini.
Untuk melacak Trojan pada file PDF, silahkan anda lakukan caranya seperti berikut ini :
1. Sekarang buka file PDF menggunakan PDFStreamDumper dan klik Exploits Scan dari menu bar.
2. Terus Scrol kebawah pada aliran code, kita dapat melihat sekelompok karakter hex. Ini terlihat seperti shellcode. Kita dapat menyimpan aliran didekompresi ke file teks dengan mengklik kanan pada objek pada bagian kiri.
3. Atau, kita dapat memilih kode hex dan tekan control-c pada keyboard. Selanjutnya klik Load dari menu utama kemudian klik File Shellcode.
4. Maka akan muncul jendela baru, bagian kosong sehingga bisa di paste kode hex. Disini perlu memberitahu program bahwa ini adalah hex jadi dipilih karakter, kemudia klik pada Add % to HexString di bawah menu Manual_Escapes. Karena ini dianggap menjadi shellcode, kita dapat menggunakan pilihan di bawah menu Shellcode_Analysis. Mungkin anda ingin membuang shellcode menggunakan 3 (tiga) pilihan atas tapi itu tidak akan berhasil. Sekarang mari kita lihat bila itu adalah XOR yang terenkripsi, pilih karakter hex kemudian pilih Xor_Bruteforcer.
5. Akhirnya hal ini dienkripsi menggunakan kunci XOR dari OxFO. Periksa executable dengan antivirus, maka itu akan terdeteksi sebagai bank Trojan.
Nah itulah cara melacak Trojan pada file PDF, selamat mencoba.
Post a Comment