Sebelumnya saya mohon maaf kalo judul artikelnya sedikit menyinggung perasaan kalangan tertentu, disini saya hanya ingin memaparkan fakta yang ada di lapangan sebagai bahan koreksi bagi kita bersama serta informasi yang berdasarkan fakta terhdap public, karena banyak artikel hasil uji coba dipertanyakan validasinya disebabkan kurangnya independensi serta tidak disertai data-data yang mendukung. Untuk itu saya akan mencoba bersifat se independent mungkin, serta memaparkan 100% fakta yang ada sesuai pengujian yang saya lakukan, tanpa memandang siapa dan apa Antivirus local yang diuji.
Saya sangat tertarik dengan salah satu Virus import yang (pernah/masih) merajai dunia malware di Tanah air yaitu virus sality. Salah satu varian virus sality adalah Sality.aa (KAV) alias Tanatos.M (AVG), keunikan virus tersebut yang bersifat polimorphic membuat saya tertarik untuk melakukan uji coba kemampuang AV lokal dalam mendapatkan virus tersebut dalam file-file yang telah diinfeksinya. Walaapun bersifat polymorphic, menurut pandangan saya sality jenis ini masih berbaik hati kepada setiap vendor Antivirus, dengan memudahkan dirinya di deteksi dengan heuristic (meskipun bisa terjadi false detect) hal tersebut bisa dilihat pada :
Nama Section Baru yang dibuatnya
Karakteristic Section Baru yang dibuatnya
Ukuran Fisik/Memory Section baru yang dibuatnya
Operation Code pertama dari EP
Dengan berbekal 4 tahapan atau informasi di Atas, Pembuat Antivirus ebenarnya sudah bisa melakukan penyangkaan terhdap file ayng terinfeksi oleh sality dan varianya, namun yang perlu diingat bahwa varian sality yang pernah di temukan di Indonesia yang pernah saya jumpai adalah 6 jenis, dimana da beberapa jenis yang tidak dapat disangka dengan beberapa tahapan atau informasi di atas. Sekarang mari kita masuk ke pengujian, dimana saya menyediakan 42 file yang telah terinfeksi Win32/Tanatos.M alias Sality.aa dengan catatan sebagai berikut:
Ke 42 file terinfeksi adalah file PE yang berasal dari program yang berbeda (artinya variasinya bisa dikatakan 100%)
Ke 42 file terinfeksi adalah file PE yang tidak cacat dan lumpuh, artinya tidak ada alas an Antivirus gagal mendeteksi kecuali memang dari kekurang sempurnaan detektornya (teknik yang dipakai)
95 % dari 42 file didapat dari hasil eksekusi Tanatos.M lgsung di computer saya, sedangkan sisanya dari sample yang pernah ada sebelumnya (beredar di internet)
Ke 42 file ternfeksi adalah diinfeksi dengan 1 jenis (varian) sality yaitu Tanatos.M (artinya tidak ada alas an Antivirus mendapatkan dengan lebih dari 1 nama virus kecuali memang dari kekurang sempurnaan detektornya \teknik yang dipakai)
Untuk Memperkuat Hasil uji lapangan, berikut adalah screenshot dari ke 42 file yang akan di uji.
Sebagai AV asing pembanding saya memilih AVG 9.0, untuk melakukan pengecekan awal terhadap ke-42 file tersebut
Memang benar, Antivirus Import punya kualitas yang sangat bagus walaupun versi Free (Tanpa Berbayar). Tak ada satu pun file yang lolos, dengan variasi deteksi 1 varian yaitu Win32/Tanatos.M. Arinya bisa dikatakan akurasi AVG 9.0 adalah 100% untuk kasus ini dan bisa ditarik kesimpulan Antivirus ini punya akurasi hampir 100% pada kasus Win32/Tanatos.M secara global.
Lalu bagaimana dengan Kualitas Antivirus local, mari kita buktikan.
Sebelumnya saya ingin minta izin kepada founder masing-masing Antivirus yang tidak bisa saya tembusi satu persatu. Antivirus local yang diuji
PCMAV 2.2c (Update Terkahir yang saya punya)
Ansav 2.0.50.0 (Update Terkahir yang saya punya)
Smadav 2010 Rev 8.0 (Update Terkahir yang saya punya)
CMC PH.3 build.1 (Update Terkahir yang saya punya)
Morphost Expert
PCMAV
Pernah melakukan klaim pada artikel yang mereka buat bahwa produk turunan Antivirus ini (PCMAV Sality Express) adalah Antivirus terbaik di Dunia dalam menuntaskan masalah dengan sality. Dengan demikian, asumsi saya bahwa PCMAV pasti dilengkapi dengan detector yang sangat baik untuk setiap varian sality, termasuk Tanatos.M. Untuk itu mari kita uji PCMAV 2.2c terhadap ke-42 file Tanatos.m atau dalam glosarium virus PCMAV dia menyebutnya sebagai Sality/M.Variant :
Laporan PCMAV
File yang dipindai : 42 file
Objek yang terdeteksi : 40 file
Laporan tambahan : -
Variasi Objek terdeteksi : 1 (Sality/M.Variant)
ANSAV
Ansav adalah Antivirus yang bisa saya ibaratkan sebagai Air, dilihat dari sisi luar sifatnya tenang namun ternyata menghanyutkan. Artinya Antivirus ini lebih suka memebrikan bukti bukan hanya hanya janji dan gembar-gembor belaka (menurut pandangan saya saja). Mari kita lihat hasil scanning Ansav Beta 2.0.50.0
Laporan ANSAV
File yang dipindai : 42 file
Objek yang terdeteksi : 34 Suspected
Laporan tambahan : -
Variasi Objek terdeteksi : 2 (35.Suspect/Sality.Infected dan 1.Virut)
Total Objek Tertangkap : 34
SMADAV
Smadav menyatakan diri sebagai Antivirus local yang mengkonsentrasikan diri terhadap pembersihan worm local secara tuntas, dan pencegahan worm serta virus asing dengan baik. Untuk itu mari kita lihat hasil scanning SMADAV 8.0
Laporan SMADAV
File yang dipindai : 42 file
Objek yang terdeteksi : 37 file
Laporan tambahan : -
Variasi Objek terdeteksi : 3 (2.Sality.C, 6.Sality.F dan 29.Sality.G)
Total Objek Tertangkap : 37
CMC
CMC hadir untuk mendukung Antivirus lokal lainya, agar masyarakat sedikit mengurangi ketergantungan terhadap Antivirus Import. CMC mengkonstrasikan diri untuk pencegahan virus asing (sekaligus pembersihan jika mampu). Untuk itu mari kita lihat hasil scanning CMC PH.3 Build.1.
Laporan CMC
File yang dipindai : 42 file
Objek yang terdeteksi : 40 file
Laporan tambahan : 2 file Suspect Tanatos
Variasi Objek terdeteksi : 2 (40.Win32/Tanatos.M dan 2.Suspect Tanatos)
Total Objek Tertangkap : 42
Morphost Expert
Antivirus local ini dikembangkan oleh Samuel Pola Karta bersama Teamnya, banyak mengalami perubahan dari Morphost sebelumnya yang belum berani menyentuh virus sekarang sudah mulai ditambahkan teknik-teknik deteksi untuk virus. Lihat hasil scan MorphostExpert
Laporan Morphost
File yang dipindai : 42 file
Objek yang terdeteksi : 42 file
Laporan tambahan : 2 file terdeteksi dengan heuristic VB/Worm
Variasi Objek terdeteksi : 2 (40 Sality.AA dan 2.VB/Worm)
Total Objek Tertangkap : 42
Table Kalkulasi Ujicoba Tanatos.M
|
Antivirus |
Objek Dipindai |
File terdeteksi |
Variasi |
Gagal Terdeteksi |
Informasi |
Total Tertangkap |
Asumsi Deteksi |
|
AVG 9.0 |
42 |
42 |
1 |
0 |
0 |
42 |
PE |
|
PCMAV 2.2.c |
42 |
40 |
1 |
2 |
0 |
40 |
PE |
|
ANSAV 2.0.5 |
42 |
34 |
2 |
8 |
0 |
34 |
PE |
|
SMADAV 8.0 |
42 |
37 |
3 |
5 |
0 |
37 |
String |
|
CMC 3.1 |
42 |
40 |
1 |
2 |
2 |
42 |
PE |
|
Morphost Expert |
42 |
42 |
2 |
0 |
0 |
42 |
String |
Dari hasil kalkulasi Tabel, ada data yang unik dari 2 Antivirus lokal yaitu PCMAV dan CMC (sama-sama memakai cara structural), dimana keberhasilan deteksi adalah sama yaitu 40 file. Untuk itu saya mencoba memastikan apakah ke-2 file gagal terdeteksi oleh CMC dan PCMAV adalah file yang sama atau bukan? Ternyata tidak 100% sama. Berikut adalah daftar nama file yang gagal terdeteksi oleh ke Antivirus local tersebut.
|
Nama File |
PCMAV |
CMC |
|
Setup1.exe |
- |
+ |
|
dolibs.exe |
+ |
- |
|
2632.exe |
- |
- |
Kesimpulan Tabel :
Dari hasil table di atas, bisa kita simpulkan bahwa file yang gagal terdeteksi oleh PCMAV dan CMC berasal dari 1 file berbeda dan 1 file yang sama. Artinya walaupun teknik deteksi dua Antivirus local di atas digabungkan (walapun tidak mungkin) hasilnya belum mampu menyaingi teknik detector Antivirus Import yang di uji disini (AVG 9.0).
Kesimpulan Artikel:
Artikel ini hanya membahas 1 virus unik varian sality yang memiliki kemampuan polymorphic tingkat tinggi. Hasil nya adalah bahwa kekuatan deteksi Antivirus local baik secara individual maupun kelompok belum sanggup menyamai Antivirus Import, walaupun hanya tertinggal sedikit dibawahnya. Untuk itu himbauan bagi semua pihak untuk meningkatkan kekuatan deteksi terdap virus-virus asing kususnya yang bersifat polymorphic maupun semi polymorphic. Mari kita bercemin dari produk Import walapun mereka gratis namun mereka memberikan pelayanan yang sangat luar biasa, tidak hanya gembar-gembor belaka. Lantas layakah produk-produk Antivirus dalam negeri dibanggakan? Secara nasionalis memang harus dibanggakan, namun secara fakta kita harus mengakui dan banyak belajar lagi… jangan sembarangan memberikan label pada Antivirus yang kita buat, dan melakukan pembodohan terhadap masyarakat awam. Sudah saatnya masyarakat awam diberikan informasi sekongkrit dan setransparan mungkin…
Akui kekurangan kita dan akui kelebihan orang lain..
Resume Per Antivirus
Hasil ulasan singkat Antivirus berasarkan analisa di atas serta didukung analisa intern yang lebih mendalam, maka hasilnya sebagai berikut
AVG 9.0 : Tak bisa berkata-kata neh kayana, dari hasil uji sejauh ini detector Tanatos.M dari Antivirus ini belum menemukan kegagalan deteksi dan kesalahan deteksi.
PCMAV : PCMAV memang Antivirus expert, detektornya sangat structural dan memiliki keberhasilan sangat tinggi. Detektor dari PCMAV saya yakini meliputi Code Dekriptor dan Enkriptor dari Virus, karena inilah yang membedakan jenis-jenis virus polymorphic dengan baik. Namun saying, 2 file yang gagal terdeteksi oleh PCMAV sebagai Sality/M.Varian, menunjukan masih cacatnya detector yang mereka buat. Ingat klaim yang pernah di buat di webnya, sudah selaykanya PCMAV untuk memperbaiki detector untuk virus polymorphic ini.
ANSAV : ANSAV masih mengandalkan heuristic sality untuk varian-varian baru sality, namun harus diingat bahwa Heuristic tidak bisa mengkover semua varian. Heuristic yang dipakai menurut saya sudah sangat bagus, karena keberhasilan heuristic ini cukup tinggi dan kesalahan deteksi heuristic ini sangat rendah.
CMC : CMC memang dirancang untuk mendukung Antivirus-Antivirus local lain dalam mempertahankan daerahnya dari serangan virus asing. Filosofi CMC yang mengutamakan kecepatan (dulu) kini sudah mulai ditinggalkan, mengingat tugas utamanya adalah menjadi banteng local dalam menahan serangan virus asing yang kebanyakan bersifat polymorphic. Walapaun CMC dapat mengendus OP Code dari Decriptor dan Encriptor Tanatos.M yang ditumpuk-tumpuk oleh sampah, CMC masih menagalami kegagalan detector untuk itu CMC dilengkapi dengan heuristic untuk tanatos sebagai peyangga kegagalanya yang dimasukan dalam Tab Informasi.
SMADAV : Tujuanya dirancang untuk mencegah kedatangan virus asing, sudah cukup bagus. Namun pada kasus ini, 1 varian sality (Tanatos.M) dianggap 3 varian. Kegagalan mendapatkan Tanatos.M cukup rendah (dengan anggapan 3 varian). Kesalahan deteksi lumayan tinggi, jiga anggapan 1 varian, karena terindentifikasi sebagai 3 varian.
Morphost : Secara pribadi saya sudah bangga dengan Antivirus ini, sudah banyak berkembang pesat walapun seiring dengan umurnya. Sensitifitas morphost terhadap Tanatos.M (Sality.AA) sangat tinggi, namun analisa yang lebih mendalam terhadap detector morphost ternyata bisa dikatakan sebuah heuristic (seperti Ansav), jika Kasus ini dianggapkan bahwa detector morphost untuk Tanatos.M adalah bukan heuristic, maka kesalahan deteksi morphost sangat tinggi terhadap virus sality lain yang bukan dari jenis ini. Maka saran dari saya untuk merubahnya menjadi Sality.Heuristric saja.
Salam Maniz
Bidan Malware
Comments
bos, tau vouewoz.exe ga?
kayaknya virus, tuh virus sering buat shortcut di flashdisk.
tau cara handlenya ga???
thanks
11 April 2009
8 hours 9 min
Coba samplenya dikirim ke forum om, mgkin itu hanya worm saja.
bisa kam bantu diforum :)
RumahKu & CodenesiaKu
add my YM : im4soft
dicobain dong scan pake Simsesys Antivirus v.4.0
sekalian test kemampuan deteksi virus Tanatos dari sampel yang kamu punya.
Thanks...
download di www.4shared.com pake kata kunci "Simsesys"
berikan direct linknya, atau upload di forum
1 May 2009
4 weeks 20 hours
yohooooooooooooooooy
q datang lagi
cmc ma morphost memang bagus
gratis lagi
mantab nie
28 January 2010
31 weeks 6 days
Sebelumnya, Salam Kenal dr yudha.
Maju Terus Morphost...!! aku dukung..!!
24 February 2009
4 hours 58 min
belum tahu.. terkhit ambil itu
Bos, ANSAV yang 2.0.53 dah ada bukan?
Post new comment