Tanatos.M (Sality.aa) Kacangi Antivirus Lokal

Sebelumnya saya mohon maaf kalo judul artikelnya sedikit menyinggung perasaan kalangan tertentu, disini saya hanya ingin memaparkan fakta yang ada di lapangan sebagai bahan koreksi bagi kita bersama serta informasi yang berdasarkan fakta terhdap public, karena banyak artikel hasil uji coba dipertanyakan validasinya disebabkan kurangnya independensi serta tidak disertai data-data yang mendukung. Untuk itu saya akan mencoba bersifat se independent mungkin, serta memaparkan 100% fakta yang ada sesuai pengujian yang saya lakukan, tanpa memandang siapa dan apa Antivirus local yang diuji.

Saya sangat tertarik dengan salah satu Virus import yang (pernah/masih) merajai dunia malware di Tanah air yaitu virus sality. Salah satu varian virus sality adalah Sality.aa (KAV) alias Tanatos.M (AVG), keunikan virus tersebut yang bersifat polimorphic membuat saya tertarik untuk melakukan uji coba kemampuang AV lokal dalam mendapatkan virus tersebut dalam file-file yang telah diinfeksinya. Walaapun bersifat polymorphic, menurut pandangan saya sality jenis ini masih berbaik hati kepada setiap vendor Antivirus, dengan memudahkan dirinya di deteksi dengan heuristic (meskipun bisa terjadi false detect) hal tersebut bisa dilihat pada :

  • Nama Section Baru yang dibuatnya
  • Karakteristic Section Baru yang dibuatnya
  • Ukuran Fisik/Memory Section baru yang dibuatnya
  • Operation Code pertama dari EP

Dengan berbekal 4 tahapan atau informasi di Atas, Pembuat Antivirus ebenarnya sudah bisa melakukan penyangkaan terhdap file ayng terinfeksi oleh sality dan varianya, namun yang perlu diingat bahwa varian sality yang pernah di temukan di Indonesia yang pernah saya jumpai adalah 6 jenis, dimana da beberapa jenis yang tidak dapat disangka dengan beberapa tahapan atau informasi di atas. Sekarang mari kita masuk ke pengujian, dimana saya menyediakan 42 file yang telah terinfeksi Win32/Tanatos.M alias Sality.aa dengan catatan sebagai berikut:

  • Ke 42 file terinfeksi adalah file PE yang berasal dari program yang berbeda (artinya variasinya bisa dikatakan 100%)
  • Ke 42 file terinfeksi adalah file PE yang tidak cacat dan lumpuh, artinya tidak ada alas an Antivirus gagal mendeteksi kecuali memang dari kekurang sempurnaan detektornya (teknik yang dipakai)
  • 95 % dari 42 file didapat dari hasil eksekusi Tanatos.M lgsung di computer saya, sedangkan sisanya dari sample yang pernah ada sebelumnya (beredar di internet)
  • Ke 42 file ternfeksi adalah diinfeksi dengan 1 jenis (varian) sality yaitu Tanatos.M (artinya tidak ada alas an Antivirus mendapatkan dengan lebih dari 1 nama virus kecuali memang dari kekurang sempurnaan detektornya \teknik yang dipakai)

Untuk Memperkuat Hasil uji lapangan, berikut adalah screenshot dari ke 42 file yang akan di uji.

Sebagai AV asing pembanding saya memilih AVG 9.0, untuk melakukan pengecekan awal terhadap ke-42 file tersebut

Memang benar, Antivirus Import punya kualitas yang sangat bagus walaupun versi Free (Tanpa Berbayar). Tak ada satu pun file yang lolos, dengan variasi deteksi 1 varian yaitu Win32/Tanatos.M. Arinya bisa dikatakan akurasi AVG 9.0 adalah 100% untuk kasus ini dan bisa ditarik kesimpulan Antivirus ini punya akurasi hampir 100% pada kasus Win32/Tanatos.M secara global.

Lalu bagaimana dengan Kualitas Antivirus local, mari kita buktikan.

Sebelumnya saya ingin minta izin kepada founder masing-masing Antivirus yang tidak bisa saya tembusi satu persatu. Antivirus local yang diuji

  1. PCMAV 2.2c (Update Terkahir yang saya punya)
  2. Ansav 2.0.50.0 (Update Terkahir yang saya punya)
  3. Smadav 2010 Rev 8.0 (Update Terkahir yang saya punya)
  4. CMC PH.3 build.1 (Update Terkahir yang saya punya)
  5. Morphost Expert

PCMAV

Pernah melakukan klaim pada artikel yang mereka buat bahwa produk turunan Antivirus ini (PCMAV Sality Express) adalah Antivirus terbaik di Dunia dalam menuntaskan masalah dengan sality. Dengan demikian, asumsi saya bahwa PCMAV pasti dilengkapi dengan detector yang sangat baik untuk setiap varian sality, termasuk Tanatos.M. Untuk itu mari kita uji PCMAV 2.2c terhadap ke-42 file Tanatos.m atau dalam glosarium virus PCMAV dia menyebutnya sebagai Sality/M.Variant :

Laporan PCMAV

File yang dipindai : 42 file

Objek yang terdeteksi : 40 file

Laporan tambahan : –

Variasi Objek terdeteksi : 1 (Sality/M.Variant)

ANSAV

Ansav adalah Antivirus yang bisa saya ibaratkan sebagai Air, dilihat dari sisi luar sifatnya tenang namun ternyata menghanyutkan. Artinya Antivirus ini lebih suka memebrikan bukti bukan hanya hanya janji dan gembar-gembor belaka (menurut pandangan saya saja). Mari kita lihat hasil scanning Ansav Beta 2.0.50.0

Laporan ANSAV

File yang dipindai : 42 file

Objek yang terdeteksi : 34 Suspected

Laporan tambahan : –

Variasi Objek terdeteksi : 2 (35.Suspect/Sality.Infected dan 1.Virut)

Total Objek Tertangkap : 34

SMADAV

Smadav menyatakan diri sebagai Antivirus local yang mengkonsentrasikan diri terhadap pembersihan worm local secara tuntas, dan pencegahan worm serta virus asing dengan baik. Untuk itu mari kita lihat hasil scanning SMADAV 8.0

Laporan SMADAV

File yang dipindai : 42 file

Objek yang terdeteksi : 37 file

Laporan tambahan : –

Variasi Objek terdeteksi : 3 (2.Sality.C, 6.Sality.F dan 29.Sality.G)

Total Objek Tertangkap : 37

CMC

CMC hadir untuk mendukung Antivirus lokal lainya, agar masyarakat sedikit mengurangi ketergantungan terhadap Antivirus Import. CMC mengkonstrasikan diri untuk pencegahan virus asing (sekaligus pembersihan jika mampu). Untuk itu mari kita lihat hasil scanning CMC PH.3 Build.1.

Laporan CMC

File yang dipindai : 42 file

Objek yang terdeteksi : 40 file

Laporan tambahan : 2 file Suspect Tanatos

Variasi Objek terdeteksi : 2 (40.Win32/Tanatos.M dan 2.Suspect Tanatos)

Total Objek Tertangkap : 42

Morphost Expert

Antivirus local ini dikembangkan oleh Samuel Pola Karta bersama Teamnya, banyak mengalami perubahan dari Morphost sebelumnya yang belum berani menyentuh virus sekarang sudah mulai ditambahkan teknik-teknik deteksi untuk virus. Lihat hasil scan MorphostExpert

Laporan Morphost

File yang dipindai : 42 file

Objek yang terdeteksi : 42 file

Laporan tambahan : 2 file terdeteksi dengan heuristic VB/Worm

Variasi Objek terdeteksi : 2 (40 Sality.AA dan 2.VB/Worm)

Total Objek Tertangkap : 42

Table Kalkulasi Ujicoba Tanatos.M

Antivirus Objek Dipindai File terdeteksi Variasi Gagal Terdeteksi Informasi Total Tertangkap Asumsi Deteksi
AVG 9.0 42 42 1 0 0 42 PE
PCMAV 2.2.c 42 40 1 2 0 40 PE
ANSAV 2.0.5 42 34 2 8 0 34 PE
SMADAV 8.0 42 37 3 5 0 37 String
CMC 3.1 42 40 1 2 2 42 PE
Morphost Expert 42 42 2 0 0 42 String

Dari hasil kalkulasi Tabel, ada data yang unik dari 2 Antivirus lokal yaitu PCMAV dan CMC (sama-sama memakai cara structural), dimana keberhasilan deteksi adalah sama yaitu 40 file. Untuk itu saya mencoba memastikan apakah ke-2 file gagal terdeteksi oleh CMC dan PCMAV adalah file yang sama atau bukan? Ternyata tidak 100% sama. Berikut adalah daftar nama file yang gagal terdeteksi oleh ke Antivirus local tersebut.

Nama File PCMAV CMC
Setup1.exe +
dolibs.exe +
2632.exe

Kesimpulan Tabel :

Dari hasil table di atas, bisa kita simpulkan bahwa file yang gagal terdeteksi oleh PCMAV dan CMC berasal dari 1 file berbeda dan 1 file yang sama. Artinya walaupun teknik deteksi dua Antivirus local di atas digabungkan (walapun tidak mungkin) hasilnya belum mampu menyaingi teknik detector Antivirus Import yang di uji disini (AVG 9.0).

Kesimpulan Artikel:

Artikel ini hanya membahas 1 virus unik varian sality yang memiliki kemampuan polymorphic tingkat tinggi. Hasil nya adalah bahwa kekuatan deteksi Antivirus local baik secara individual maupun kelompok belum sanggup menyamai Antivirus Import, walaupun hanya tertinggal sedikit dibawahnya. Untuk itu himbauan bagi semua pihak untuk meningkatkan kekuatan deteksi terdap virus-virus asing kususnya yang bersifat polymorphic maupun semi polymorphic. Mari kita bercemin dari produk Import walapun mereka gratis namun mereka memberikan pelayanan yang sangat luar biasa, tidak hanya gembar-gembor belaka. Lantas layakah produk-produk Antivirus dalam negeri dibanggakan? Secara nasionalis memang harus dibanggakan, namun secara fakta kita harus mengakui dan banyak belajar lagi… jangan sembarangan memberikan label pada Antivirus yang kita buat, dan melakukan pembodohan terhadap masyarakat awam. Sudah saatnya masyarakat awam diberikan informasi sekongkrit dan setransparan mungkin…

Akui kekurangan kita dan akui kelebihan orang lain..

Resume Per Antivirus

Hasil ulasan singkat Antivirus berasarkan analisa di atas serta didukung analisa intern yang lebih mendalam, maka hasilnya sebagai berikut

AVG 9.0 : Tak bisa berkata-kata neh kayana, dari hasil uji sejauh ini detector Tanatos.M dari Antivirus ini belum menemukan kegagalan deteksi dan kesalahan deteksi.

PCMAV : PCMAV memang Antivirus expert, detektornya sangat structural dan memiliki keberhasilan sangat tinggi. Detektor dari PCMAV saya yakini meliputi Code Dekriptor dan Enkriptor dari Virus, karena inilah yang membedakan jenis-jenis virus polymorphic dengan baik. Namun saying, 2 file yang gagal terdeteksi oleh PCMAV sebagai Sality/M.Varian, menunjukan masih cacatnya detector yang mereka buat. Ingat klaim yang pernah di buat di webnya, sudah selaykanya PCMAV untuk memperbaiki detector untuk virus polymorphic ini.

ANSAV : ANSAV masih mengandalkan heuristic sality untuk varian-varian baru sality, namun harus diingat bahwa Heuristic tidak bisa mengkover semua varian. Heuristic yang dipakai menurut saya sudah sangat bagus, karena keberhasilan heuristic ini cukup tinggi dan kesalahan deteksi heuristic ini sangat rendah.

CMC : CMC memang dirancang untuk mendukung Antivirus-Antivirus local lain dalam mempertahankan daerahnya dari serangan virus asing. Filosofi CMC yang mengutamakan kecepatan (dulu) kini sudah mulai ditinggalkan, mengingat tugas utamanya adalah menjadi banteng local dalam menahan serangan virus asing yang kebanyakan bersifat polymorphic. Walapaun CMC dapat mengendus OP Code dari Decriptor dan Encriptor Tanatos.M yang ditumpuk-tumpuk oleh sampah, CMC masih menagalami kegagalan detector untuk itu CMC dilengkapi dengan heuristic untuk tanatos sebagai peyangga kegagalanya yang dimasukan dalam Tab Informasi.

SMADAV : Tujuanya dirancang untuk mencegah kedatangan virus asing, sudah cukup bagus. Namun pada kasus ini, 1 varian sality (Tanatos.M) dianggap 3 varian. Kegagalan mendapatkan Tanatos.M cukup rendah (dengan anggapan 3 varian). Kesalahan deteksi lumayan tinggi, jiga anggapan 1 varian, karena terindentifikasi sebagai 3 varian.

Morphost : Secara pribadi saya sudah bangga dengan Antivirus ini, sudah banyak berkembang pesat walapun seiring dengan umurnya. Sensitifitas morphost terhadap Tanatos.M (Sality.AA) sangat tinggi, namun analisa yang lebih mendalam terhadap detector morphost ternyata bisa dikatakan sebuah heuristic (seperti Ansav), jika Kasus ini dianggapkan bahwa detector morphost untuk Tanatos.M adalah bukan heuristic, maka kesalahan deteksi morphost sangat tinggi terhadap virus sality lain yang bukan dari jenis ini. Maka saran dari saya untuk merubahnya menjadi Sality.Heuristric saja.

Salam Maniz

Source : Codenesia

About revil

i'm just a stupid who wanted to be better..

Posted on March 2, 2010, in Virus & Anti Virus and tagged . Bookmark the permalink. 2 Comments.

  1. jadi bagusnya gimana Mas? saya sudah kesel dengan sality/heuristic.9…cape bulak balik instal ulang windows

    • kalo kata ane sih gan, sekarang mah sality udah jarang berkeliaran di Indo, cz AV2 lokal juga udah pada punya heuristic buat detek sality. nah kalo masih bingung gimana.. ane saraninj pake AV luar aja biar lebih safe,, ya menurut ane Av luar yang lumanyan bagus itu ESET NOD32..
      semoga bermanfaat

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: