Uninstaller yang Cukup Canggih Tidak Bisa Dibedakan dari Malware

 (devblogs.microsoft.com)
17 poin oleh GN⁺ 2023-09-14 | 5 komentar | Bagikan ke WhatsApp
  • Karena crash di Explorer meningkat tajam, saat menelusuri penyebabnya ditemukan function pointer di stack yang mirip dengan malware
  • Setelah diselidiki, ternyata itu bukan malware melainkan uninstaller
  • Setelah uninstaller selesai, ia menunggu untuk menghapus biner dirinya sendiri (self-deleting)
    • Kode ini menggunakan metode yang diperkenalkan di CodeProject 10 tahun lalu
  • Kemungkinan ada fungsi dari suatu DLL yang harus dipanggil, tetapi hal itu terjadi karena dibelokkan (detour)
  • Untuk menghapus dirinya sendiri, jangan lakukan penyisipan kode atau detour ke proses lain seperti Explorer; gunakan file sementara seperti cleanup.js berikut ini
    • Kode ini menghapus dirinya sendiri, dan uninstaller juga mencoba dihapus selama 20 detik
var fso = new ActiveXObject("Scripting.FileSystemObject");  
fso.DeleteFile("C:\\Users\\Name\\AppData\\Local\\Temp\\cleanup.js");  
  
var path = "C:\\Program Files\\Contoso\\contoso_update.exe";  
for (var count = 0; fso.FileExists(path) && count < 40; count++) {  
    try { fso.DeleteFile(path); break; } catch (e) { }  
    WSH.Sleep(500);  
}

Bacaan terkait

5 komentar

 
2023-09-14
[Komentar ini disembunyikan.]
 
kuroneko 2023-09-14

Saya jadi ingat dulu pernah memakai program pembersih sisa-sisa file...
Tapi sekarang Windows juga pelan-pelan makin berkembang dalam hal program manajemen paket, jadi saya menaruh harapan. +_+
 
botplaysdice 2023-09-14

Sepertinya Anda sering memakai kata 'sangat maju'. Sains yang berkembang sangat maju tidak dapat dibedakan dari sihir.
 
xguru 2023-09-14

Judul tulisan ini berasal dari ucapan penulis novel fiksi ilmiah terkenal Sir Arthur C. Clarke.

"Any sufficiently advanced technology is indistinguishable from magic."
"Teknologi yang cukup maju tidak dapat dibedakan dari sihir."
 
GN⁺ 2023-09-14
Komentar Hacker News
  • Diskusi tentang kemiripan antara uninstaller canggih dan malware, dengan fokus pada executable yang menghapus dirinya sendiri
  • Menyediakan tautan ke proyek kode yang mencakup kode untuk executable yang menghapus dirinya sendiri
  • Penulis menyarankan bahwa biner tersebut terlihat seperti malware karena dapat menghapus dirinya sendiri, tidur, dan berinteraksi dengan uninstaller
  • Perdebatan tentang solusi yang diusulkan, mempertanyakan apakah itu lebih baik daripada yang asli, dan apakah menilai niat jahat menggunakan heuristik yang buruk
  • Beberapa komentar mempertanyakan mengapa program Windows memerlukan installer/uninstaller khusus, dan mengapa hal ini tidak ditangani oleh Windows sendiri
  • Disebutkan penggunaan wscripts, yang dapat diprofilkan sebagai malware karena penandatanganan kode atau kemampuannya yang tidak bisa diverifikasi sebelum dijalankan
  • Konsep "detour" diangkat, dibandingkan dengan perintah LD_PRELOAD di Linux
  • Kilas balik tentang aplikasi sederhana untuk Windows 95/98 yang menambahkan semua direktori ke daftar uninstaller tanpa disadari perangkat lunak antivirus
  • Beberapa komentator menyatakan preferensi terhadap pendekatan AmigaOS, yaitu folder mandiri yang memungkinkan aplikasi dipasang atau dihapus dengan mudah
  • Artikel ditutup dengan fakta mengejutkan bahwa Windows mendukung eksekusi JavaScript sebagai shell script