Malicious Software
-
Upload
william-ariowibowo -
Category
Documents
-
view
17 -
download
1
description
Transcript of Malicious Software
BAB I
MALICIOUS SOFTWARE
Malware (singkatan dari istilah Bahasa Inggris malicious software, yang berarti
perangkat lunak yang mencurigakan) adalah program komputer yang diciptakan
dengan maksud dan tujuan tertentu dari penciptanya dan merupakan program
yang mencari kelemahan dari software. Umumnya malware diciptakan untuk
membobol atau merusak suatu software atau sistem operasi melalui script yang
disisipkan secara tersembunyi oleh pembuatnya. Pada dasarnya malware adalah
program berbahaya dan tidak diinginkan yang dapat merusak sistem komputer,
menghambat akses internet dan yang paling berbahaya yaitu mencuri informasi
seperti password dan no kartu kredit kita.
Dengan memanfaatkan koneksi jaringan dan internet, Malware yang merupakan
sebuah perangkat lunak berbahaya (malicious software) saat ini semakin mudah
menyebar dan menginfeksi komputer. Tanpa kita sadari sistem dan aplikasi
komputer kita telah dirusak bahkan informasi pribadi milik kita pun bisa diketahui
dan disalahgunakan oleh orang lain hanya karena aktifitas browsing yang kita
lakukan.
Beberapa program yang termasuk sebagai kategori malware adalah :
a. Virus
b. Trojan Horse
c. Worm
d. Ad–Ware
e. Spy Ware
f. Backdoor
g. Exploit
h. Keylogger
Pada gambar 1 adalah diagram pembagian kategori malware.
Gambar 1 Diagram Kategori MalwareSumber : http://ilmukomputer.org/wp-content/uploads/2011/03/Malware.jpg
BAB II
VIRUS KOMPUTER
2.1 Definisi Virus Komputer
Istilah computer virus pertama kali digunakan oleh Fred Cohen dalam
papernya yang berjudul Computer Virus – Theory and
Experiments pada tahun 1984. Berikut kutipan definisi yang
diberikan oleh Cred Cohen dalam paper tersebut :
“ We define a computer ‘virus’ as a program that can ‘infect’ other
programs by modifying them to include a possibly evolved copy of itself.
With the infection property, a virus can spread throughout a computer
system or network using the authorizations of every user using it to
infect their programs. Every programs that gets infected may also act as a
virus and thus the infection grows.”
Maka, menurut definisi yang diberikan di atas, dapat diketahui beberapa sifat
dasar virus komputer yaitu mempunyai kemampuan untuk menjangkiti
(menginfeksi) program lain dan menyebar. Pada dasarnya penggunaan isitlah
virus dikarenakan adanya kesamaan dalam hal sifat antara virus komputer
dengan virus yang kita kenal dalam dunia fisik. Di mana keduanya memiliki
dua tujuan yaitu untuk bertahan hidup dan bereproduksi.
Pada dasarnya virus komputer dapat diklasifikasi menjadi dua tipe. Tipe
virus komputer yang pertama dibuat untuk tujuan penelitian dan studi, dan
tidak dipublikasikan. Sedangkan tipe kedua yang merupakan kebalikan dari
tipe pertama, merupakan virus komputer yang membahayakan sistem
komputer pada umumnya, sering kali disebut dengan ist i lah virus in the
wild.
2.2 Sejarah Virus Komputer
Berikut adalah sekilas sejarah mengenai virus komputer :
Tahun 1981
Virus ‘in the wild’ pertama ditemukan. Virus yang bernama Elk Cloner ini
menyebar melalui floppy disk pada komputer Apple II.
Tahun 1983
Fred Cohen dalam paper-nya yang berjudul ‘Computer Viruses – Theory
and Experiments’ memberikan definisi pertama mengenai virus komputer
dan memaparkan eksperimen yang telah dilakukannya untuk membuktikan
konsep dari sebuah virus komputer. Bersama dengan Len Adelman, ia
menciptakan sebuah contoh virus pada komputer VAX 11/750 dengan sistem
operasi Unix.
Tahun 1986
Sepasang kakak adik dari Pakistan, Basit dan Amjad, menciptakan sebuah
boot sector virus pertama yang diberi nama Brain. Brain sering kali disebut
sebagai virus komputer pertama di dunia.
PC-based Trojan pertama diciptakan dalam bentuk program shareware yang
diberi nama PC-Write.
Dalam beberapa laporan disebutkan bahwa file virus pertama, Virdem,
juga ditemukan pada tahun yang sama. Virdem diciptakan oleh Ralf Burger.
Tahun 1987
Virus-virus file infector seperti Leigh mulai bermunculan, kebanyakan
menyerang file COM seperti COMMAND.COM. Pada tahun yang sama
muncul virus penyerang file-file EXE pertama, Suriv 01 dan 02 serta
Jerusalem. Mainframe IBM mengalami serangan worm IBM Christmas
Worm dengan kecepatan replikasi setengah juta kopi per jam.
Tahun 1988
Virus pertama yang menyerang komputer Macintosh, MacMag dan Scores,
muncul. Pada tahun yang sama didirikan CERT (Computer Emergency
Response Team) oleh DARPA dengan tujuan awalnya untuk mengatasi
serangan Morris Worm yang diciptakan oleh Robert Morris.
Tahun 1989
AIDS Trojan muncul sebagai trojan yang menggunakan samaran sebagai
AIDS information program. Ketika dijalankan trojan ini akan mengenkripsi
hard drive dan meminta pembayaran untuk kunci dekripsinya.
Tahun 1990
Virus Exchange Factory (VX) BBS yang merupakan forum diskusi online
para pencipta virus didirikan di Bulgaria. Mark Ludwig menulis buku “The
Little Black Book of Computer Viruses” yang berisi cara-cara untuk
menciptakan berbagai jenis virus komputer.
Tahun 1991
Virus polymorphic pertama, Tequila, muncul di Swiss. Virus ini dapat
mengubah dirinya untuk menghindari deteksi.
Tahun 1992
Kehadiran virus Michaelangelo yang menjadi ancaman bagi seluruh dunia,
namun demikian kerusakan yang ditimbulkan pada akhirnya tidak terlalu
hebat. Kemuculan beberapa tool yang dapat digunakan untuk menciptakan
virus seperti Dark Avenger Mutation Engine (DAME) yang dapat
mengubah virus apa pun menjadi virus polymorphic, dan Virus Creation
Lab (VCL) yang merupakan kit pertama yang dapat digunakan untuk
menciptakan virus.
Tahun 1995
Para hacker dengan nama ‘Internet Liberation Front’ melakukan banyak
serangan pada hari Thanksgiving. Beberapa badan yang menjadi korban
serangan ini adalah Griffith Air Force Base, Korean Atomic Research Institute,
NASA, GE, IBM, dll. Virus macro pertama yang menyerang aplikasi
Microsoft Word, Concept, dikembangkan.
Tahun 1996
Kemunculan virus Boza yang didesain khusus untuk menyerang file-file
Windows 95, virus Laroux yang merupakan virus penyerang Microsoft
Excel pertama, virus Staog yang merupakan virus Linux pertama.
Tahun 1998
Kemunculan virus Java pertama, Strange Brew. Back Orifice merupakan
trojan pertama yang dapat digunakan sebagai tool untuk mengambil alih
kendali komputer remote melalui Internet. Pada tahun ini, virus-virus macro
lainnya bermunculan.
Tahun 1999
Kemunculan virus Melissa yang merupakan kombinasi antara virus macro
yang menyerang aplikasi Microsoft Word dan worm yang menggunakan
address book pada aplikasi Microsoft Outlook dan Oulook Express untuk
mengirimkan dirinya sendiri melalui email. Virus Corner merupakan virus
pertama menyerang file-file aplikasi MS Project. Virus Tristate
merupakan virus macro yang bersifat multi-program menyerang aplikasi
Microsoft Word, Excel, dan PowerPoint. Bubbleboy merupakan worm
pertama yang dapat aktif hanya dengan membuka email melalui aplikasi
Microsoft Outlook tanpa memerlukan attachment.
Tahun 2000
Serangan Distributed Denial of Service (DDoS) pertama membuat kerusakan
pada situs-situs besar seperti Yahoo!, Amazon.com, dan lain-lain. Love Letter
merupakan worm dengan kecepatan menyebar tertinggi pada saat itu yang
menyebabkan kerusakan pada banyak sistem email di seluruh dunia. Liberty
Crack yang merupakan worm pertama untuk peralatan PDA.
Tahun 2001
Gnuman (Mandragore) merupakan worm pertama yang menyerang
jaringan komunikasi peer to peer. Worm ini menyamarkan diri dalam bentuk
file MP3 yang dapat di download. Kemunculan virus yang didesain untuk
menyerang baik sistem operasi Windows maupun Linux, seperti Winux atau
Lindose. Virus LogoLogic-A menyebar melalui aplikasi MIRC dan e-mail.
Tahun 2002
Virus LFM-926 merupakan virus pertama yang menyerang file-file
aplikasi Shockwave Flash. Donut merupakan worm pertama yang menyerang
.NET services. SQLSpider merupakan worm yang menyerang aplikasi
yang menggunakan teknologi Microsoft SQL Server
2.3 Elemen Fungsional Virus Komputer
Setiap virus komputer yang aktif, pada dasarnya harus terdiri atas dua buah
bagian dasar atau subroutine, yaitu :
a. Search routine
Bagian ini berfungsi untuk menemukan file atau lokasi baru yang akan
dijadikan target berikutnya untuk diserang. Bagian ini juga menentukan
bagaimana cara virus bereproduksi, apakah secara cepat atau lambat,
apakah dapat menyerang sebagian atau seluruh bagian dari target. Namun
sebagaimana tradeoff ukuran dan fungsionalitas yang dimiliki setiap
program, bila virus memiliki search routine yang rumit, maka akan
dibutuhkan ruang yang lebih besar. Dengan demikian walaupun search
routine yang baik dapat membantu virus untuk menyebar lebih cepat,
namun ukuran virus akan bertambah besar karenanya.
b. Copy routine
bagian ini berfungsi untuk meng-copy dirinya sendiri pada area yang telah
ditentukan oleh search routine. Ukuran dari bagian ini bergantung pada
kompleksitas dari virus yang di-copy. Sebagai contoh, virus yang
menyerang file berekstensi COM umumnya berukuran lebih kecil daripada
virus yang menyerang file EXE, karena file EXE memiliki struktur yang
lebih kompleks, sehingga virus lebih sukar untuk melekatkan diri pada
file EXE.
Selain kedua bagian di atas, sering kali sebuah virus digabungkan lagi
dengan bagian yang berfungsi untuk menghindari deteksi, baik oleh
pengguna komputer maupun software pendeteksi virus. Bagian ini disebut
anti-detection routine, dan dapat merupakan bagian dari search routine, copy
routine, atau bahkan terpisah dari keduanya. Sebagai contoh, bagian ini akan
mengaktifkan virus jika selama lima menit tidak ada tombol keyboard
yang ditekan, dengan asumsi pengguna tidak sedang menggunakan
komputer. Kadang kala virus masih digabungkan dengan bagian lain
seperti routine untuk merusak sistem yang diserang atau routine yang
berfungsi hanya untuk lelucon.
2.4 Cara Kerja Virus Komputer
2.4.1 Cara Kerja Virus Komputer Secara Umum
Seperti yang telah dijelaskan sebelumnya, dalam melakukan proses
replikasi sebuah virus memodifikasi program lain sehingga virus
tersebut menjadi bagian dari program tersebut. Sehingga setiap kali
program tersebut dieksekusi, virus akan dieksekusi pula dan
menyerang program lain. Pada gambar 1.1 adalah beberapa kategori
virus komputer yang sering menyebar.
Gambar 1.1 Kategori Virus Komputer Yang Sering MenyebarSumber : http://2.bp.blogspot.com/-T0dipz1X9Bw/T9zOfSNJ7oI/AAAAAAAAC9k/MccWhkQWj4A/s1600/
dasarvirus.png
Pada gambar 2.1, terdapat 3 kategori virus komputer, yaitu :
a. Overwriting viruses
Virus ini menjadi bagian dari program host dengan ‘menimpa’
(menggantikan) bagian awal dari program tersebut, sehingga
program host tidak akan mengalami perubahan ukuran, namun
mengalami kerusakan dan tidak dapat berfungsi sebagaimana
mestinya.
b. Prepending viruses
Virus bereplikasi dengan menjadi bagian awal dari program host
sehingga ketika program host dieksekusi, sebelum program host
virus akan terlebih dahulu dieksekusi. Keberadaan virus tidak
menyebabkan kerusakan fungsional pada program host namun akan
memperbesar ukuran program host.
c. Appending viruses
Virus bereplikasi dengan menjadi bagian akhir dari program host
tanpa merubah isi dari program host. Namun pada bagian awal
program yang telah terinfeksi diberikan mekanisme agar ketika
program dieksekusi, virus akan dieksekusi terlebih dahulu.
2.4.2 Cara Kerja Berbagai Jenis Virus Komputer
Berikut adalah penjelasan mengenai cara kerja berbagai jenis virus
komputer :
a. File infector virus
Memiliki kemampuan untuk melekatkan diri (attach) pada sebuah
file, yang biasanya merupakan file executable. Pada umumnya virus
jenis ini tidak menyerang file data. Namun dewasa ini, sebuah file
data atau dokumen lainnya dapat mengandung kode executable
seperti macro, yang dapat dieksploitasi oleh pencipta virus
komputer, worms atau trojan horse.
b. Boot sector virus
Memodifikasi program yang berada di dalam boot sector pada DOS-
formatted disk. Pada umumnya, sebuah boot sector virus akan terlebih
dahulu mengeksekusi dirinya sendiri sebelum proses bootup pada
PC, sehingga seluruh floppy disk yang digunakan pada PC tersebut
akan terjangkiti pula.
c. Multipartite virus
Virus ini memiliki fitur dari kedua jenis virus di atas (baik sebagai
file infector mau pun sebagai boot/system sector virus). Ketika sebuah
file yang terinfeksi oleh virus jenis ini dieksekusi, maka virus akan
menjangkiti boot sector dari hard disk atau partition sector dari
komputer tersebut, dan sebaliknya.
d. Macro virus
Virus ini menjangkiti program macro dari sebuah file data atau
dokumen (yang biasanya digunakan untuk global setting seperti
template Microsoft Word), sehingga dokumen berikutnya yang diedit
oleh program aplikasi tersebut akan terinfeksi pula oleh macro yang
telah terinfeksi sebelumnya.
e. Stealth virus
Virus ini bekerja secara residensial (menetap) di dalam memori dan
menyembunyikan perubahan yang telah dilakukannya terhadap file
yang dijangkiti. Hal ini dilakukan dengan mengambil alih fungsi
sistem jika terjadi proses pembacaan. Jika program lain meminta
informasi dari bagian sistem yang telah dijangkiti virus stealth, maka
virus akan memberikan informasi yang sesuai dengan keadaan
sebelum terjangkiti virus, sehingga seolah-olah sistem berfungsi dalam
keadaan baik tanpa gangguan dari virus komputer.
f. Polymorphic virus
Virus yang cenderung melakukan perubahan di dalam kodenya setiap
kali mengalami proses replikasi sehingga sulit untuk dideteksi oleh
anti-virus software.
g. Companion virus
Virus yang bekerja dengan berpura-pura menggantikan file yang
hendak diakses oleh pengguna. Sebagai contoh dalam sistem operasi
DOS, file A.EXE dapat diinfeksi dengan membuat sebuah file dengan
nama A.COM. DOS akan terlebih dahulu akan mencari file
berekstensi COM sebelum file dengan ekstensi EXE. Setelah A.COM
telah dieksekusi, kemudian A.EXE akan dieksekusi pula sehingga file
tersebut terinfeksi pula. Cara lain adalah dengan menempatkan sebuah
file dengan nama yang persis sama pada cabang lain dari file tree,
sehingga bila file palsu ini ditempatkan secara tepat dan terjadi
kesalahan dengan tidak menuliskan path yang lengkap dalam
menjalankan sebuah program, akan berakibat tereksekusinya file
palsu tersebut.
h. Tunneling virus
Virus ini mencoba untuk mengambil alih interrupt handlers pada DOS
dan BIOS, kemudian meng-install dirinya sehingga berada ‘di
bawah’ program- program lainnya. Dengan ini virus dapat
menghindari hadangan dari program anti virus sejenis monitors.
i. Fast Infectors Virus
Virus jenis ini tidak hanya menyerang ketika program target
dieksekusi, melainkan juga ketika diakses. Hal ini bertujuan untuk
menumpangi perangkat anti virus sebagai media penyebaran ketika
melakukan pengecekan terhadap file-file di dalam komputer.
j. Slow Infectors Virus
Merupakan kebalikan dari fast infectors, di mana virus hanya akan
menyebar ketika file-file target diciptakan atau dimodifikasi. Hal ini
bertujuan untuk memperdaya anti virus sejenis integrity checkers
dengan menumpangi proses yang ‘sah’ untuk mengubah sebuah file.
k. Armoured virus
Merupakan virus yang dibuat sedemikian rupa sehingga sulit untuk
peneliti anti-virus dalam mempelajari cara mereka bekerja.
2.5 Cara Penyebaran Virus Komputer
Berikut adalah gambaran umum cara penyebaran berbagasi jenis virus
komputer yang umum pada saat ini :
a. Boot Sector Virus
Sebuah PC terinfeksi oleh boot sector virus jika PC tersebut di-boot
atau di-re-boot dari floppy disk yang telah terinfeksi oleh virus jenis
ini. Boot sector virus cenderung tidak menyebar melalui jaringan
komputer, dan biasanya menyebar akibat ketidaksengajaan
penggunaan floppy disk yang telah terinfeksi.
b. File virus
Virus jenis ini menginfeksi file lain ketika program yang telah terinfeksi
olehnya dieksekusi. Oleh sebab itu virus jenis ini dapat menyebar melalui
jaringan komputer dengan sangat cepat.
c. Multiparte virus
Virus jenis ini menginfeksi baik boot sector mau pun file jenis lain.
d. Macro virus
Macro adalah perintah yang berisi perintah program otomatis. Saat ini,
banyak aplikasi umum yang menggunakan macro. Jika seorang
pengguna mengakses sebuah dokumen yang mengandung macro yang
telah terinfeksi oleh virus jenis ini dan secara tidak sengaja
mengeksekusinya, maka virus ini dapat meng-copy dirinya ke dalam
file startup dari aplikasi tersebut. Sehingga komputer tersebut menjadi
terinfeksi dan sebuah copy dari macro virus tersebut akan tinggal di
dalamnya. Dokumen lain di dalam komputer tersebut yang menggunakan
aplikasi yang sama akan terinfeksi pula. Dan jika komputer tersebut berada
di dalam sebuah jaringan, maka kemungkinan besar virus ini dapat
menyebar dengan cepat ke komputer lain yang berada di dalam jaringan
tempat komputer tersebut berada. Bahkan jika dokumen yang telah
terinfeksi dikirimkan kepada orang lain, misalnya melalui floppy disk
ataupun email, maka virus akan menjangkiti komputer penerima pula.
Proses ini akan berakhir hanya apabila jika virus ini telah diketahui dan
seluruh macro yang terinfeksi dibasmi. Macro virus merupakan salah satu
jenis virus yang paling umum saat ini. Aplikasi seperti Microsoft Word dan
Microsoft Excel tergolong sangat rentan terhadap virus jenis ini. Satu hal
yang membuat penyebaran virus ini menjadi sangat ‘sukses’ adalah karena
aplikasi jenis ini kini lebih umum dipertukarkan pengguna dibandingkan
file-file program, dan juga merupakan dampak langsung maraknya
penggunaan aplikasi email dan web dewasa ini.
e. Email worm
Sebagian besar penyebab penyebaran virus saat ini adalah attacment email
yang telah terinfeksi. Kemudahan pengguna untuk mendownload
attachment email tersebut dan mengeksekusinya. Hal ini dikarenakan sering
kali isi email yang bersangkutan bersifat ‘mengundang’, misalnya saja
untuk kasus worn ILoveYou yang menyebar dengan nama file LOVE-
LETTER-FOR-YOU.TXT.vbs disertai dengan pesan yang berbunyi:
“kindly check the attached LOVELETTER coming from me”. Selain
melalui email, worm juga dapat menyebar melalui newsgroup posting.
2.6 Faktor - Faktor Yang Mempengaruhi Penyebaran Virus Komputer
Saat ini, terdapat enam faktor teknologi berpengaruh pada keragaman dan
tingkat kompleksitas dari virus komputer :
a. Penggunaan Teknologi Komunikasi Broadband
Penggunaan teknologi komunikasi broadband di rumah-rumah, seperti
cable modem dan Digital Subscriber Line (DSL), pada masa yang akan
datang, menjadikan hubungan yang bersifat konstan dan statis antara
pengguna dan jaringan internet (memiliki network address yang
cenderung tetap). Hal ini dapat memudahkan para hacker atau worms
untuk menentukan target dan menyerang komputer para pengguna yang
terhubung dengan jaringan internet. Setelah jika mereka telah menguasai
komputer di rumah-rumah tersebut, mereka dapat menyebar melalui VPN
ke jaringan yang dimiliki oleh pemerintah maupun badan-badan hukum
lainnya.
Selain itu diperkirakan jika lebih banyak pengguna yang
mengadopsi teknologi komunikasi broadband ke rumah-rumah mereka,
maka berbagai aplikasi terkoneksi (connected applications) seperti personal
web server, search agent, dan chat programs, akan mengalami
pertumbuhan yang sangat cepat. Di sisi lain, penggunaan berbagai
macam macro dan pendukung program lainnya untuk meningkatkan
kemampuan aplikasi perangkat lunak juga akan meningkat. Dan sudah
tentu hal ini akan memudahkan para hacker dan pencipta virus
untuk mengeksploitasi berbagai aplikasi tersebut.
b. Proses disassembly yang semakin sulit
Mayoritas virus komputer di masa lampau ditulis dengan menggunakan
bahasa aasembly yang merupakan bahasa pemrograman tingkat rendah
dan cukup sulit untuk digunakan. Namun kini, mayoritas berbagai jenis
virus komputer dan worms diciptakan dengan menggunakan bahasa
pemrograman tingkat tinggi dan tool-tool yang lebih maju. Hal ini
menyebabkan virus-virus tersebut menjadi lebih sulit untuk dianalisa,
mengingat optimisasi yang dilakukan berbagai jenis compiler cenderung
bersifat mengaburkan logika dari kode yang ditulis dalam bahasa tingkat
tinggi tersebut. Tingkat kompleksitas yang dimiliki oleh berbagai jenis
virus dan worms ini dapat menyebabkan bertambahnya waktu yang
diperlukan para peniliti virus untuk melakukan proses disassembly
(pengubahan kembali kode mesin menjadi kode assembly) dan analisa.
c. Homogenitas Infrastruktur Sistem Komputer
Kesamaan (homogenitas) dalam hal penggunaan hardware, sistem operasi,
aplikasi perangkat lunak, serta platform komunikasi dapat menjadi salah
satu penyebab utama epidemi dari virus komputer, worms, dan trojan
horses. Pada saat ini, lebih dari 90% komputer di dunia bekerja dengan
sistem operasi Microsoft Windows disertai dengan perangkat keras
(hardware) berbasis produk-produk Intel. Selain itu masih dengan
persentase yang cukup tinggi, berbagai pengguna komputer menggunakan
sistem email standar seperti Microsoft Outlook. Bahkan dalam bidang
word processing, aplikasi Microsoft Word seakan memonopoli dalam hal
penggunaan oleh pengguna rumahan, bisnis, dan pemerintahan. Sehingga
pada dasarnya dapat dikatakan bahwa hampir seluruh PC di dunia
memiliki kemiripan, baik dalam hal perangkat lunak maupun keras.
Sebagai perbandingan, dalam bidang pertanian, hal yanf serupa sering kali
disebut sebagai sistem monokultur. Penggunaan sistem ini memiliki
akibat yang sangat buruk, karena secara tidak langsung meningkatkan
kerentanan seluruh hasil panen terhadap sejenis penyakit tertentu. Jika
sebah tanaman terkena penyakit, maka penyakit tersebut dapat menyebar
ke seluruh tanaman lainnya dengan sangat cepat. Begitu halnya dalam hal
standarisasi teknologi komputer yang kini digunakan secara umum.
Sehingga dapat dikatakan meskipun standarisasi perangkat lunak dan keras
dalam teknologi komputer dapat membawa banyak keuntungan seperti
penurunan technical support cost, replacement cost, dan software
development cost, namun telah mengubah kita menjadi komunitas yang
hanya bersandar pada sebuah lingkungan komputerisasi, yang cukup rentan
terhadap berbagai ancaman seperti virus komputer.
d. Kemudahan Pemrograman
Kemudahan pemrograman dalam sistem operasi Windows telah
membuat proses pembuatan virus komputer menjadi suatu hal yang cukup
mudah. Sebelumnya, tidak ada orang yang pernah memperkirakan bahwa
bahkan aplikasi seperti Microsoft Word dan Excel dapat menjadi salah
satu media penyebaran yang sangat sukses bagi virus komputer dan
worms. Namun kini pengguna biasa pada umunya dapat dengan mudah
menuliskan sepenggal program macro dan meng- attach-kannya ke dalam
sebuah dokumen Word atau Excel. Program macro berbasis pemrograman
Visual Basic yang sangat mudah untuk dipelajari ini (berbasis bahasa
pemrograman Basic pada umumnya) dapat melaksanakan berbagai
fungsi seperti spell checking dan penjumlahan pada tabel-tabel. Lebih
lanjut bahwa program- program macro tersebut dapat di-copy atau
meng-copy dirinya sendiri ke dalam dokumen lain. Namun di lain sisi,
keberadaan program macro ini sangat rentan terhadap virus komputer,
sehingga hampir 80% insiden yang disebabkan virus komputer ini
disebabkan oleh virus macro pada aplikasi Word dan Excel.
Walaupun sebenarnya program macro ini tidak hanya memiliki
akses terhadap komponen dari aplikasi-aplikasi tersebut (bahkan beberapa
komponen lain yang terdapat dalam komputer yang bersangkutan), namun
penggabungan penggunaan program macro pada aplikasi Microsoft Office
dan teknologi Component Object Model (COM) memiliki dampak yang
cukup besar terhadap perkembangan virus dewasa ini.
Sistem COM memungkinkan fungsionalitas dari sebuah aplikasi yang
baru dibuat oleh seorang programmer, agar dapat digunakan pada aplikasi
lain yang sedang dijalankan di dalam sistem. Kemudian, programmer lain
dapat mendesain program lain yang dapat menggunakan fungsionalitas
aplikasi sebelumnya di atas. Sebagai contoh seorang pengguna dapat
membuat sebuah aplikasi yang menggunakan fungsionalitas dari aplikasi
Microsoft Outlook untuk mengirimkan salinan dari sebuah laporan
yang dibuatnya pada departemen lain di tempat kerjanya, tanpa perlu
mengetahui bagaimana memprogram sebuah sistem email, protokol yang
digunakan, dll. Dan tentunya hal ini sangat memudahkan seorang
pengguna biasa untuk mengembangkan sebuah program macro dengan
berbagai kemampuan yang luar biasa.
e. Konektivitas Yang Lengkap
Jaringan komputer dewasa ini lebih terhubung satu sama lain dibandingkan
waktu-waktu sebelumnya. Peningkatan jumlah hubungan dalam sistem
komunikasi memungkinkan worms untuk dapat menyebar dengan sangat
cepat dan bahkan menyerang target dengan jumlah yang sangat besar.
Pada awalnya kecepatan penyebaran berbagai jenis virus komputer
cenderung lebih lambat, karena lebih bergantung pada perilaku pengguna
(kecepatan pertukaran data yang dilakukan pengguna baik melalui email,
file server, floppy disk, dll). Perilaku pengguna ini dapat menyebabkan
penyebaran virus komputer menjadi tidak praktis bahkan terbatas.
Dari faktor-faktor yang telah dijelaskan pada bagian sebelumnya
(homogenitas infrastruktur, kemudahan pemrograman, dll.), didukung
dengan jumlah komputer yang menggunakan aplikasi email serta jaringan
internet yang mencakup hampir seluruh belahan dunia, mekanisme
pembuatan sebuah worm yang memiliki berbagai kemampuan menjadi
sangat mudah.
Walaupun email merupakan mekanisme ideal untuk penyebaran
worms, namun trend ini mulai berubah pada tahun-tahun belakangan
dengan eksploitasi terhadap komunikasi peer-to-peer. Contoh dari jenis
worm yang mengeksploitasi jaringan peer-to-peer sebagai mekanisme
penyebaran adalah Explore.Zip.
f. Migrasi Teknologi Ke Perumahan
Migrasi teknologi PC dari perusahaan ke rumah-rumah, dan
pengadopsian bentuk jaringan perumahan (home networking) pada
tahun-tahun memudahakn proses pengembangan virus komputer. Dengan
berkembangnya teknologi PC dewasa ini, para pencipta virus dapat
mengeksploitasi teknologi PC yang mereka punyai di rumahnya untuk
mengembangkan virus ciptaan mereka. Dari sebab itu, perusahaan yang
mepekerjakan para pencipta virus secara tidak disengaja, sangat rentan
terhadap ancaman ini. Apalagi bila produk-produk perangkat lunak yang
dipergunakan baik di perusahaan maupun di rumah sang pencipta virus
memiliki banyak kesamaan. Hal ini yang menyebabkan pula mengapa
aplikasi Lotus Notes memiliki ancaman yang lebih kecil dibandingkan
dengan Microsoft Outlook yang memiliki kesamaan fungsi.Selain itu, salah
satu produk yang dapat dijadikan sasaran empuk para pencipta virus adalah
Linux. Hal ini dikarenakan Linux adalah produk yang seluruh komponennya
ditawarkan secara gratis. Hampir seluruh source code, dokumentasi dan
lain-lain, dapat dengan mudah didapatkan. Selain itu pengguna Linux
dewasa inipun memiliki jumlah yang sangat besar, lain halnya dengan
sistem operasi Solaris, yang meski memiliki dasar Unix platform seperti
halnya Linux, namun hingga kini masih sedikit digunakan pada PC-PC
perumahan pada umumnya.
BAB III
WORM
3.1 Definisi Worm
Cacing-cacing di Internet (Worms) adalah autonomous intrusion agents yang
mampu melakukan penggandaan-diri dan menyebar dengan memanfaatkan
kelemahan-kelemahan sekuriti (security flaws) pada services yang umum
digunakan. Worm bukanlah sebuah fenomena baru, ditemukan pertama kali
penyebarannya pada tahun 1988. Worms telah menjadi sebuah ancaman yang
mematikan di Internet, walaupun sebagian besar kasus yang terjadi secara
spesifik adalah pada sistim berbasis Windows. Beberapa jenis worms terbaru
memanfaatkan electronic mail (e-mail) sebagai medium penyebarannya.
3.2 Metode Aktivasi dan Mekanisme Penyebaran Worm
Perbedaan mendasar antara worm dan virus terletak pada bagaimana mereka
membutuhkan intervensi user untuk melakukan penggandaandiri dan
menyebar menginfeksi sistim komputer. Virus lebih lambat dalam melakukan
penyebaran jika dibandingkan dengan worm. Namun virus mempunyai
kemampuan lebih untuk menghindari deteksi program anti-virus yang
berusaha mengidentifikasi dan mengontrol penyebaran virus pada sistim
komputer. Namun pada praktek penyebarannya sebuah virus dapat menjadi
sebuah worm. Untuk memudahkan pembahasan, kita membatasi terminologi
antara worm dan virus dengan mempertimbangkan metode aktivasi yang
dilakukan oleh sebuah worm proses yang dilakukan sebuah worm untuk
mengeksekusi pada sebuah sistim komputer dan mekanisme penyebaran
proses yang memungkinkan sebuah worm berpindah dari satu host ke host
yang lain.
3.2.1 Metode aktivasi
Metode aktivasi adalah cara bagaimana worm dapat aktif pada sebuah
host berhubungan erat dengan kemampuan worm untuk menyebarkan
diri, sejumlah worms dapat diatur untuk aktif secara langsung (activated
nearly immediately), sementara yang lain dapat menunggu beberapa
hari, minggu atau bahkan bulan untuk dapat teraktivasi dan kemudian
menyebarkan-dirinya.
Ada beberapa jenis metode aktivasi yang sering digunakan oleh worm,
yaitu :
a. Aktivasi dengan intervensi user
Merupakan proses aktivasi paling lambat karena membutuhkan
intervensi user untuk mengeksekusi worm tersebut, baik disadari
maupun tidak oleh user tersebut. Namun karena sosialisasi yang
gencar dilakukan mengenai bahaya worm dan virus, user dapat lebih
cermat dengan tidak mengeksekusi program asing atau membuka
attachment e-mail dari orang yang tidak dikenalnya, hal ini tentu akan
memperlambat proses aktivasi worm. Tetapi pembuat worm tidak
putus asa dengan kondisi tersebut sehingga mereka melakukan teknik
social engineering seperti yang dilakukan oleh virus Melissa yang
seolah-olah mengirimkan informasi penting dari orang yang telah
dikenal oleh korban atau pesan-pesan personal lainnya yang
dikirimkan oleh virus ILOVEYOU. Walaupun Melissa adalah sebuah
virus macro pada program MicrosoftWord namun dengan intervensi
user maka penyebaran Melissa di Internet sempat menjadi ancaman
yang paling menakutkan.
b. Aktivasi terjadwal
Metode aktivasi worm yang lebih cepat adalah dengan menggunakan
proses terjadwal pada sistim (scheduled system proces). Ada banyak
program yang berjalan pada lingkungan desktop maupun server untuk
melakukan proses sesuai dengan jadwal yang diberikan. Metode ini
tetap membutuhkan intervesi manusia namun kali ini intervensi
attacker yang dibutuhkan. Sebagai contoh, program auto-update dari
sistim yang melakukan proses updating ke server vendor. Dengan
melakukan update ke remote host sebagai master, seorang attacker
yang cerdik dapat memanfaatkan proses tersebut untuk menyebarkan
worm dengan terlebih dahulu menguasai remote host atau gateway
pada network maupun di Internet dan mengganti atau menginfeksi file
yang dibutuhkan pada proses update dengan kode program worm.
c. Aktivasi mandiri
Metode aktivasi mandiri adalah metode tercepat worm dalam
menggandakandiri, menyebar, dan menginfeksi host korban. Metode
ini paling populer digunakan oleh para penulis worm. Umumnya
worm yang menggunakan metode ini memanfaatkan kelemahan
sekuriti (security flaw) pada service yang umum digunakan. Sebagai
contoh, worm CodeRed yang mengeksploitasi webserver IIS. Worm
akan menyertakan dirinya pada service daemon yang sudah
dikuasainya atau mengeksekusi perintah-perintah lain dengan
privilege yang sama dengan yang digunakan oleh daemon tersebut.
Proses eksekusi tersebut akan berlangsung ketika worm menemukan
vulnerable service dan melakukan eksploitasi terhadap service
tersebut.
3.2.2 Mekanisme Penyebaran Worm
Worm menginfeksi host korban dan memasukkan kode program sebagai
bagian dari program worm ke dalamnya. Kode program tersebut dapat
berupa machine code, atau routine untuk menjalankan program lain yang
sudah ada pada host korban. Dalam proses penyebarannya, worm harus
mencari korban baru dan menginfeksi korban dengan salinan dirinya.
Proses pendistribusian tersebut dapat berlangsung sebagai proses
distribusi satuan (dari satu host ke host yang lain) atau sebagai proses
distribusi masal (dari satu host ke banyak host).
Proses distribusi masal dipertimbangkan sebagai metode penyebaran
tercepat dengan asumsi batasan yang digunakan adalah satuan waktu.
Terdapat beberapa mekanisme penyebaran yang digunakan worm untuk
menemukan calon korban yaitu dengan melakukan scanning, mencari
korban berdasarkan target list yang sudah dipersiapkan terlebih dahulu
oleh penulis worm atau berdasarkan list yang ditemukan pada sistim
korban maupun di metaserver, serta melakukan monitoring secara pasif.
Beberapa langkah yang sering digunakan oleh worm untuk menginfeksi
komputer host, diantaranya adalah :
a. Scanning
Metode scanning melibatkan proses probing terhadap sejumlah alamat
di Internet dan kemudian mengidentifikasi host yang vulnerable. Dua
format sederhana dari metode scanning adalah sequential (mencoba
mengidentifikasi sebuah blok alamat dari awal sampai akhir) dan
random (secara acak). Penyebaran worm dengan metode scanning
baik sequential maupun random, secara komparatif dapat dikatakan
lambat, namun jika dikombinasikan dengan aktivasi secara otomatis,
worm dapat menyebar lebih cepat lagi. Worm yang menggunakan
metode scanning biasanya mengeksploitasi security holes yang sudah
teridentifikasi sebelumnya sehingga secara relatif hanya akan
menginfeksi sejumlah host saja. Metode scanning lainnya yang dinilai
cukup efektif adalah dengan menggunakan bandwidth-limited routine
(seperti yang digunakan oleh CodeRed, yaitu dengan membatasi
target dengan latensi koneksi dari sistim yang sudah terinfeksi dengan
calon korban yang baru), mendefinisikan target yang hanya terdapat
pada local address (seperti dalam sebuah LAN maupun WAN), dan
permutasi pada proses pencarian. Scanning yang dilakukan worm
tidaklah spesifik terhadap aplikasi sehingga attacker dapat
menambahkan sebuah exploit baru pada sebuah worm yang sudah
dikenal. Sebagai contoh, worm Slapper mendapatkan muatan exploit
baru dan menjadikannya sebuah worm baru yaitu Scalper.
b. Target lists
Sebuah worm dapat memiliki target list yang sudah ditentukan
sebelumnya oleh penulis worm tersebut. Dengan target list yang
sudah ditentukan terlebih dahulu membuat sebuah worm lebih cepat
dalam menyebar, namun tentu saja penyebaran tersebut akan sangat
terbatas karena target berdasarkan sejumlah alamat di Internet yang
sudah ditentukan. Selain itu, worm dapat menemukan list yang
dibutuhkan pada host korban yang sudah dikuasainya, list ini
umumnya digunakan oleh worm yang metode penyebarannya
berdasarkan topologi network. Informasi yang didapat contohnya
adalah IP address sistim tersebut dan worm mengembangkannya
menjadi sebuah subnet pada LAN atau WAN.
c. Monitoring secara pasif
Worm pasif tidak mencari korbannya, namun worm tersebut akan
menunggu calon korban potensial dan kemudian menginfeksinya.
Walaupun metode ini lebih lambat namun worm pasif tidak
menghasilkan anomalous traffic patterns sehingga keberadaan mereka
akan sulit diketahui. Sebagai contoh, "antiworm" CRClean tidak
membutuhkan aktivasi user, worm ini menunggu serangan worm
CodeRed dan turunannya, kemudian melakukan respon dengan
melakukan counter-attack. Jika proses counter-attack berhasil,
CRClean akan menghapus CodeRed dan menginfeksi korban dengan
menginstal dirinya pada mesin. Sehingga CRClean dapat menyebar
tanpa melakukan proses scanning.
3.3 Jenis Worm Yang Banyak Menyebar Di Internet
3.3.1 Warhol Worm
Diskusi mengenai warhol worm dimulai ketika jenis ini mulai
menyerang internet pada tahun 2001. Jenis yang terkenal adalah virus
Code Red yang sangat cepat penyerangannya. Jenis ini otomatis
melakukan scanning secara acak pada korbannya dan menggunakan
hanya pada sifat yang mudah kena serang dalam Internet Information
Services (IIS). Berdasarkan analisis bahwa bagian web server yang
terkena serangan menyebar secara berlipat ganda dalam setiap waktu.
Pada awalnya, setiap server yang terkena serangan dapat kita temukan
1,8 bagian lain yang terkena serangan dalam setiap jam, rata-rata 0.7
Code Red menggandakan dirinya pada tanggal 19 July 2001. Suatu
karakteristik yang membedakan Code Red adalah melakukan scanning
secara acak. Berdasarkan data bahwa Code Red melakukan scanning
pada bagian komputer yang mudah kena serangan sampai 500.000 waktu
per jam.
Code Red II menargetkan menyerang pada bagian yang sama dari IIS
yang diserang Code Red. Sebuah strategi scanning yang dilakukannya,
dimana Code Red II memilih secara acak alamat IP dari ruang alamat
korban kelas B dengan kemungkinan 3/8, secara acak ruang alamat IP
dari korban kelas A dengan kemungkinan ½, dan kemungkinan 1/8 dari
ruang alamat IP secara keseluruhan. Berdasarkan strategi dari
penyerangannya, kita dapat menyimpulkan bahwa Code Red II hampir
dipastikan juga melakukan tujuan yang bersifat percobaan.
Jenis lain yang akan dijabarkan adalah Nimda worm. Nimda
menggunakan lima cara yang berbeda dalam penyebarannya, yakni
bagian IIS yang mudah kena serangan yaitu : email, bagian jaringan
yang terbuka (dishare), halaman web yang terinfeksi menyebar kepada
pengunjung yang melakukan browsing, dan bagian-bagian yang telah
diserang oleh Code Red II dan virus.
Contoh lain adalah Warhol worm dan Flash worm, pada tulisan ini tidak
dijelaskan secara mendetail. Konsep kerja dari warhol worm dengn cara
”hit-list scanning”, yaitu mengumpulkan bagian-bagian (listing) yang
sebagai target dalam penyerangannya. Permutasi scanning adalah salah
satu target perkembangbiakan yang lain untuk mengurangi overlap
scanning diantara seluruh worm. Worm baru berkembang biak pada
sebuah ruang alamat IP dengan cara permutasi dengan menggunakan
sebuah block chiper 32-bit dan pre-selected key. Worm akan meng-
encrypt sebuah IP untuk mengambil permutasi yang bersesuaian,
kemudian melakukan decrypt untuk mengambil sebuah IP. Selama
terinfeksi, worm akan meningkatkan permutasi mulai dari IP hash secara
acak.
3.3.2 Curious Yellow
Bagian utama dari komunikasi dan koordinasi alamat adalah merancang
sebuah Curious Yellow worm. Bagian ini akan menguraikan
keuntungan-keuntungan dari koordinasi worm, kemudahan dalam
mengontrol dan mekanisme yang up to date, serta mengungkapkan lebih
sedikit dari lalu lintas worm. Berbagai kesulitan dalam koordinasi
diantaranya adalah masalah skala koordinasi, penekanan harga
koordinasi, kebutuhan untuk megambil kedalam laporan, dll.
Sebuah konsep hipotesis dari Curious Blue, worm menyapu bersih
setelah infeksi sebuah Curous Yellow dengan menggunakan strategi
penyebaran yang sama, atau dengan memanfaatkan bagian yang mudah
kena serangan di dalam Curious Yellow sendiri dengan cara yang cepat.
Untuk itu tingkat keamanan yang lebih baik dapat menghindari dari
serangan-serangan worm tersebut.
BAB IV
TROJAN
4.1 Sejarah Trojan
Istilah Trojan Horse (Kuda Troya) berasal dari mitologi Yunani pada saat
perang Troya. Dalam peperangan tersebut pasukan Yunani melawan pasukan
kerajaan Troya. Pasukan Yunani telah mengepung kota Troya selama sepuluh
tahun, namun karena pasukan kerajaan Troya cukup tangguh, maka pasukan
Yunani sulit mengalahkannya. Akhirnya, pasukan Yunani membuat strategi
yaitu dengan membuat sebuah kuda raksasa yang terbuat dari kayu. Kuda
dari kayu ini cukup unik, di dalamnya berongga sehingga dapat diisi pasukan
Yunani. Pasukan Yunani pura-pura mundur dan sambil memberikan hadiah
kuda kayu raksasa tersebut. Dengan bantuan seorang spionase Yunani yang
bernama Sinon, penduduk kota Troya berhasil diyakinkan untuk menerima
kuda kayu raksasa itu dan memasukkannya ke dalam kota. Pada malam
harinya, pasukan Yunani yang berada di dalam kuda kayu keluar, kemudian
membuka gerbang dan kota Troya diserang. Dengan cara tersebut kota Troya
dapat dikuasai oleh Yunani.
Kisah epik di atas telah mengilhami para hacker untuk menciptakan
“penyusup” ke komputer orang lain yang disebut dengan Trojan Horse. Trojan
pada saat ini berkaitan dengan masalah keamanan komputer yang cukup
serius. Trojan dapat masuk ke komputer dengan melalui beberapa cara dan
dari berbagai sumber yang kurang dapat dipercaya di Internet atau dari orang
lain.
Seperti halnya virus, jumlah trojan yang semakin lama semakin bertambah
banyak, karena hacker atau pembuat program Trojan (programmer) yang
selalu bereksperimen untuk mengembangkannya. Trojan tidak mempunyai
masa aktif, maksudnya Trojan akan ada selamanya (bersarang) dan tidak
pernah akan habis. Ada banyak hal yang dapat dikembangkan oleh
programmer agar program yang dibuat tidak terdeteksi oleh anti-virus atau
trojan scanner. Programmer akan selalu bereksperimen untuk menciptakan
Trojan yang unik dengan fungsi-fungsi baru dengan metode enkripsi yang
lebih hebat..
Secara teknis, Trojan dapat muncul di mana saja dan kapan saja, di sistem
operasi manapun dan berbagai platform. Kecepatan peredaran Trojan secepat
virus. Secara umum Trojan berasal dari program-program yang di
download dari Internet, terutama freeware atau shareware yang
mencurigakan dan tidak berasal dari situs
aslinya.
Salah satu indikasi komputer yang terinfeksi oleh Trojan dapat digambarkan
sebagai berikut. Pada saat komputer terhubung dengan Internet, misalnya saat
mengobrol (chating) atau memeriksa e-mail, tetapi hardisk bekerja dengan
sibuk (busy) dalam waktu yang lama. Selain itu pemakai juga tidak
sedang menjalankan program aplikasi besar atau men-download sesuatu yang
mengharuskan piringan hardisk berputar cukup lama. Kejadian tersebut
termasuk kejadian aneh yang patut dicurigai adanya penyusupan.
4.2 Definisi Tojan
Trojan di dalam sistem komputer adalah suatu program yang tidak diharapkan
dan disisipkan tanpa sepengetahuan pemilik komputer. Program ini kemudian
dapat diaktifkan dan dikendalikan dari jarak jauh, atau dengan menggunakan
timer (pewaktu). Akibatnya, komputer yang disisipi Trojan Horse tersebut
dapat dikendalikan dari jarak jauh.
Definisi lain mengatakan bahwa Trojan adalah program apapun yang
digunakan untuk melaksanakan suatu fungsi penting dan diharapkan oleh
pemakai, namun kode dan fungsi di dalamnya tidak dikenal oleh pemakai.
Selanjutnya program melaksanakan fungsi tak dikenal dan dikendalikan dari
jarak jauh yang tidak dikehendaki oleh pemakai.
4.3 Fungsi Trojan
Trojan bersembunyi di latar belakang dengan cara membuka port tertentu dan
menunggu diaktifkan oleh penyerang. Komputer yang telah terinfeksi dapat
dikendalikan oleh penyerang melalui versi client-nya.
Cara kerja Trojan mirip dengan remote administration tool, dengan sifat dan
fungsi yang sama. Program remote administration misalnya pcAnywhere,
digunakan untuk keperluan yang benar dan sah (legitimate), sedangkan
Trojam digunakan untuk keperluan yang negatif .
4.4 Jenis - Jenis Trojan
Trojan seperti halnya virus, mempunyai jumlah yang cukup banyak dan
berkembang seiring dengan berjalannya waktu. Terdapat kurang lebih 650
buah Trojan yang telah beredar saat ini. Pendapat lain mengatakan bahwa di
tahun 2002 sudah terdapat sekitar 800 buah Trojan. Jumlah tersebut adalah
jumlah yang diketahui atau terdeteksi keberadaannya, sedangkan yang tidak
terdeteksi tidak diketahui jumlahnya.
Dari berbagai macam Trojan yang telah beredar dan menginfeksi pemakai
Internet, dapat diklasifikasikan berdasarkan ciri-cirinya. Menurut Dancho
Danchev (2004), Trojan dapat diklasifikasikan menjadi delapan jenis, antara
lain sebagai berikut :
4.4.1 Trojan Remote Access
Trojan Remote Access termasuk Trojan paling populer saat ini. Banyak
penyerang menggunakan Trojan ini dengan alasan fungsi yang banyak
dan sangat mudah dalam penggunaannya. Prosesnya adalah menunggu
seseorang menjalankan Trojan yang berfungsi sebagai server dan jika
penyerang telah memiliki IP address korban, maka penyerang dapat
mengendalikan secara penuh komputer korban. Contoh jenis Trojan ini
adalah Back Orifice (BO), yang terdiri dari BOSERVE.EXE yang
dijalankan dikomputer korban dan BOGUI.EXE yang dijalankan oleh
penyerang untuk mengakses komputer korban.
4.4.2 Trojan Pengirim Password
Tujuan dari Trojan jenis ini adalah mengirimkan password yang berada
di komputer korban atau di Internet ke suatu e-mail khusus yang telah
disiapkan. Contoh password yang disadap misalnya untuk ICQ, IRC,
FTP, HTTP atau aplikasi lain yang memerlukan seorang pemakai
untuk masuk suatu login dan password. Kebanyakan Trojan ini
menggunakan port 25 untuk mengirimkan e-mail. Jenis ini sangat
berbahaya jika dalam komputer terdapat password yang sangat penting.
4.4.3 Trojan File Transfer Protocol (FTP)
Trojan FTP adalah paling sederhana dan dianggap ketinggalan jaman.
Satu-satunya fungsi yang dijalankan adalah membuka port 21 di
komputer korban yang menyebabkan mempermudah seseorang memiliki
FTP client untuk memasuki komputer korban tanpa password serta
melakukan download atau upload file.
4.4.4 Keyloggers
Keyloggers termasuk dalam jenis Trojan yang sederhana, dengan
fungsi merekam atau mencatat ketukan tombol saat korban
melakukan pengetikan dan menyimpannya dalam logfile. Apabila
diantara ketukan tersebut adalah mengisi user name dan password, maka
keduanya dapat diperoleh penyerang dengan membaca logfile. Trojan
ini dapat dijalankan pada saat komputer online maupun offline.
Trojan ini dapat mengetahui korban sedang online dan merekam segala
sesuatunya. Pada saat offline proses perekaman dilakukan setelah
Windows dijalankan dan disimpan dalam hardisk korban dan menunggu
saat online untuk melakukan transfer atau diambil oleh penyerang.
4.4.5 Trojan Penghancur
Satu-satunya fungsi dari jenis ini adalah untuk menghancurkan dan
menghapus file. Trojan penghancur termasuk jenis yang sederhana dan
mudah digunakan, namun sangat berbahaya. Sekali terinfeksi dan tidak
dapat melakukan penyelamatan maka sebagian atau bahkan semua file
sistem akan hilang. Trojan ini secara otomatis menghapus semua file
sistem pada komputer korban (sebagai contoh : *.dll, *.ini atau
*.exe). Trojan diaktifkan oleh penyerang atau bekerja seperti
sebuah logic bomb dan mulai bekerja dengan waktu yang ditentukan
oleh penyerang.
4.4.6 Trojan Denial of Service (DoS) Attack
Trojan DoS Attack saat ini termasuk yang sangat populer. Trojan ini
mempunyai kemampuan untuk menjalankan Distributed DoS (DDoS)
jika mempunyai korban yang cukup. Gagasan utamanya adalah
bahwa jika penyerang mempunyai 200 korban pemakai ADSL yang
telah terinfeksi, kemudian mulai menyerang korban secara serempak.
Hasilnya adalah lalu lintas data yang sangat padat karena permintaan
yang bertubi-tubi dan melebihi kapasitas band width korban. Hal
tersebut menyebabkan akses Internet menjadi tertutup. Wintrinoo adalah
suatu tool DDoS yang populer baru-baru ini, dan jika penyerang telah
menginfeksi pemakai ADSL, maka beberapa situs utama Internet akan
collaps. Variasi yang lain dari sebuah trojan DoS adalah trojan mail-
bomb, tujuan utamanya adalah untuk menginfeksi sebanyak mungkin
komputer dan melakukan penyerangan secara serempak ke alamat e-
mail yang spesifik maupun alamat lain yang spesifik dengan target yang
acak dan muatan/isi yang tidak dapat disaring.
4.4.7 Trojan Proxy/Wingate
Bentuk dan corak yang menarik diterapkan oleh pembuat trojan untuk
mengelabui korban dengan memanfaatkan suatu Proxy/Wingate server
yang disediakan untuk seluruh dunia atau hanya untuk penyerang saja.
Trojan Proxy/Wingate digunakan pada Telnet yang tanpa nama, ICQ,
IRC, dan untuk mendaftarkan domain dengan nomor kartu kredit yang
telah dicuri serta untuk aktivitas lain yang tidak sah. Trojan ini
melengkapi penyerang dengan keadaan tanpa nama dan memberikan
kesempatan untuk berbuat segalanya terhadap komputer korban dan
jejak yang tidak dapat ditelusuri.
4.4.8 Software Detection Killers
Beberapa Trojan telah dilengkapi dengan kemampuan
melumpuhkan fungsi software pendeteksi, tetapi ada juga program
yang berdiri sendiri dengan fungsi yang sama. Contoh software
pendeteksi yang dapat dilumpuhkan fungsinya adalah Zone Alarm,
Norton Anti-Virus dan program anti-virus/firewall yang lain berfungsi
melindungi komputer. Ketika software pendeteksi dilumpuhkan,
penyerang akan mempunyai akses penuh ke komputer korban,
melaksanakan beberapa aktivitas yang tidak sah, menggunakan
komputer korban untuk menyerang komputer yang lain.
4.5 Sumber-sumber Trojan
Banyak pemakai komputer/Internet yang mempunyai sedikit pengetahuan
tentang asal muasal sebuah Trojan, mereka beranggapan bahwa sumber Trojan
hanya dari proses download dan menjalankan server.exe. Sebenarnya banyak
jalan atau sumber Trojan untuk menginfeksi komputer seseorang yang
berawal dari menggunakan Trojan untuk aktivitas yang tidak sah.
Komputer korban dapat disusupi Trojan dengan berbagai macam cara atau
berasal dari sumber-sumber tertentu. Sumber-sumber tersebut adalah sebagai
berikut :
4.5.1 ICQ
Messenger adalah media komunikasi yang populer, namun sebenarnya
merupakan media yang sangat mungkin mengakibatkan seseorang
terkena Trojan, terutama sewaktu seseorang mengirimkan file. Terdapat
bug pada ICQ yang memungkinkan seseorang mengirimkan file *.exe
ke orang lain, namun file tersebut akan seperti file *.bmp atau *.jpg
atau jenis file lain sesuai keinginan. Hal ini sangat berbahaya, pengirim
dapat mengirimkan file *.exe tetapi dengan bentuk *.jpg atau *.bmp dan
mengatakan bahwa ini foto si pengirim. Penerima akan menerima file
tersebut dan menjalankannya dengan rasa aman, karena file yang
diterima berupa file gambar. Jika pengirim adalah seorang penyerang,
maka dengan mudah menyusupkan file Trojan ke dalam komputer
penerima (korban). Hal inilah yang menyebabkan orang ragu
menggunakan ICQ.
4.5.2 IRC
IRC adalah media yang digemari banyak orang adalah chatting
menggunakan IRC. Seperti halnya ICQ, IRC media penyebaran Trojan
yang efektif. Cara yang digunakan juga hampir sama dengan ICQ, yaitu
dengan cara mengirimkan file-file tertentu yang menarik bagi pemakai
IRC dan di dalam file tersebut telah disisipkan program Trojan. Tawaran
dari pengirim yang sekaligus sebagai penyerang misalnya dengan hal-
hal yang bersifat pornografi, software untuk melakukan akses Internet
secara bebas, hacking program Hotmail dan sebagainya. Target utama
penyerang biasanya adalah pemakai baru Internet (newbies) maupun
pemakai lama tetapi belum mengetahui tentang keamanan dalam
berinternet.
4.5.3 Attachment
Attachment dalam e-mail juga merupakan media penyebaran Trojan.
Banyak penyerang menggunakan media attachment, karena media
ini adalah salah satu media yang efektif untuk menyerang
korban secara massal dengan cara mengirimkan e-mail. Attachment
yang dikirimkan berisi hal-hal yang menarik misalnya pornografi,
layanan bebas berinternet, password dan sebagainya. Selain dengan
cara tersebut, penyerang juga menggunakan cara lain yaitu
dengan menyadap e-mail address dan attachment dari seseorang yang
sedang mengirimkan e-mail ke temannya. Setelah disadap oleh
penyerang, attachment disisipi program Trojan dan kemudian
dikirimkan ke target e-mail. Penerima e-mail akan merasakan bahwa e-
mail yang dikirimkan berasal dari temannya dan tanpa ragu-ragu
membuka attachment yang telah tersisipi Trojan.
4.5.4 Physical Access
Akses fisik dalam komputer adalah hal yang sangat vital. Media akses
fisik adalah dengan disket, Compact Disc (CD) maupun flash ROM.
Dengan media tersebut, Trojan dapat menyusup ke dalam komputer dan
dapat mengaktifkan dirinya ketika terkoneksi dengan Internet. Caranya
adalah dengan menyebar melalui komputer yang telah terinfeksi,
kemudian komputer digunakan untuk meng-copy file ke dalam media.
Selanjutnya file yang berada dalam media di-copykan lagi ke komputer
lain, sehingga komputer tersebut juga terinfeksi. Cara lainnya adalah
dengan memanfaatkan fasilitas autorun dalam fungsi pembacaan CD.
Saat CD dimasukkan ke CDROM drive, secara otomatis akan membaca
fasilitas autorun yang berada dalam Autorun.inf dalam CD, yaitu :
[autorun] open=setup.exe icon=setup.exe
Jika sebuah CD dengan fasilitas autorun dan telah disisipi program
Trojan, maka sangat mudah bagi penyerang untuk menyusupkan Trojan
ke dalam komputer orang lain.
4.5.5 Lubang Software Browser dan E-mail
Dalam penggunaan software aplikasi untuk browser dan e-mail,
seringkali pemakai tidak memperhatikan masalah update software.
Pemakai enggan memperbaharui versi softwarenya padahal mereka
seharusnya melakukan update setiap saat. Hal ini membawa keuntungan
bagi penyerang karena pemakaian software versi lama lebih mudah
untuk disusupi. Software versi lama tentunya mempunyai banyak
kelemahan atau bug jika dibandingkan dengan versi barunya. Misalnya
kasus pemakaian software versi lama Internet Explorer yang digunakan
untuk mengunjungi sebuah situs malicious, kemudian secara otomatis
menginfeksi komputer tanpa melakukan proses download atau
menjalankan program apapun. Situs malicious tersebut akan
memeriksa secara otomatis software yang digunakan dan mencari
kelemahannya.
Hal yang sama juga terjadi dalam pemakaian software untuk
memeriksa e-mail misal pemakaian Outlook Express versi lama. Oleh
karena itu, update software atau menggunakan software versi terbaru
perlu dilakukan. Hal ini dapat menekan atau meminimalkan
kemungkinan terinfeksinya komputer yang melewati software
browser dan e-mail.
4.5.6 Netbios (File Sharing)
File sharing dapat dilakukan dengan cara membuka port 139 . Jika port
tersebut terbuka dan diketahui oleh penyerang, maka dapat digunakan
sebagai jalan untuk menyusupkan Trojan. Caranya adalah dengan meng-
install trojan.exe dan memodifikasi file sistem di komputer korban.
Trojan yang telah disisipkan akan aktif setiap kali komputer
dihidupkan.
Kadang-kadang penyerang juga melengkapi dengan DoS yang
digunakan melumpuhkan kerja komputer. Komputer dipaksa untuk
booting ulang, sehingga Trojan dapat mengaktifkan sendiri bersama
proses booting.
4.6 Program Palsu dan Situs Yang Tidak Dapat Dipercaya dan Software
Freeware
Dari keterangan sebelumnya telah dijelaskan tentang sumber-sumber Trojan
yang digunakan sebagai media penyebarannya. Beberapa cara dilakukan oleh
penyerang untuk mengelabuhi korbannya saat menggunakan Internet.
Tawaran yang dilakukan untuk mengelabuhi adalah dengan menggunakan
program gadungan (fake program), situs yang tidak dapat dipercaya
(untrusted sites) dan software yang didapatkan secara gratis (freeware).
Pemakai komputer perlu berhati-hati dengan tawaran tersebut. Sebagai contoh
dari ketiga tawaran diatas adalah sebagai berikut :
a. Pemanfaatan fasilitas freeware SimpleMail. Software ini sengaja
dibuat menarik namun didalamnya telah disisipi Trojan. Komputer korban
yang telah diproteksi dengan software proteksi tetapi tidak dapat mendeteksi
keberadaan Trojan. Saat SimpleMail digunakan, maka fungsi Trojan yang
tersembunyi akan membuka port 25 atau 110 untuk POP 3 dan
menghubungkan komputer korban ke komputer penyerang. Selanjutnya
penyerang dapat menyadap apapun yang diketik korban, misalnya nomor
kartu kredit, user id, password dan sebagainya. Selanjutnya data-data
tersebut digunakan oleh penyerang untuk aktivitas yang tidak sah.
b. Pemanfaatan fasilitas free web space. Fasilitas ini memungkinkan seseorang
untuk menempatkan situsnya secara gratis. Penyedia layanan ini misalnya
Xoom, Tripod dan Geocities. Banyak pemakai yang memanfaatkan
layanan ini, termasuk para hacker yang memanfaatkan fasilitas ini sebagai
media penyebaran Trojan. Melakukan download menjadi berbahaya jika situs
di layanan ini telah terinfeksi oleh Trojan.
c. Downlod untuk mendapatkan software freeware. Dalam
mendapatkan software yang gratis perlu dipertimbangkan, karena dengan
media ini Trojan dapat disusupkan. Ada pepatah bahwa “gratis tidak selalu
yang terbaik”. Jika memang diperlukan, maka perlu dipastikan bahwa file
di-download dari sumber aslinya.
4.7 Port Yang Digunakan Trojan
Trojan sesuai dengan fungsinya akan membuka pintu belakang berupa port
dengan nomor tertentu. Adanya port yang tidak lazim terbuka
mengindikasikan adanya kegiatan aktif Trojan.
4.8 Target Penyerangan Trojan
Sebagian pemakai Internet beranggapan bahwa Trojan hanya bersifat merusak
saja. Anggapan tersebut tidak benar, karena Trojan dapat digunakan alat untuk
mata-mata dan melakukan penyadapan pada beberapa komputer korban. Data
yang disadap berupa data pribadi maupun informasi yang sensitif (misalnya
spionase dalam industri).
Contoh hal-hal yang diminati penyerang adalah sebagai berikut :
a. Informasi Kartu Kredit.
b. Data akuntansi (e-mail passwords, dial-up passwords dan
webservices passwords).
c. E-mail Addresses.
d. Work Projects (dokumen pekerjaan).
e. Nama anak-anak dengan foto dan umurnya.
f. Dokumen sekolah.
Jika sebuah komputer terinfeksi oleh Trojan dan telah dikendalikan oleh
penyerangnya, maka beberapa kemungkinan dapat terjadi. Sebagai contoh,
sebuah Trojan dengan nama NetBus dapat melakukan banyak hal ke
komputer yang telah dikendalikan antara lain :
a. Menghapus file,
b. Mengirim dan mengambil file,
c. Menjalankan program-program aplikasi,
d. Menampilkan gambar,
e. Mengintip program-program yang sedang dijalankan,
f. Menutup program-program yang dijalankan,
g. Melihat apa saja yang sedang diketik,
h. Membuka dan menutup CD-ROM drive,
i. Mengirim pesan dan mengajak untuk bicara (chat),
j. Mematikan komputer.
Contoh di atas adalah hanya sebagian yang dapat dikerjakan oleh sebuah
Trojan. Trojan lain kemungkinan mempunyai fungsi yang berbeda bahkan
mungkin lebih berbahaya dan lebih susah dideteksi.
Dalam aplikasi belanja online, Trojan adalah salah satu ancaman bagi penjual
dan pembeli. Trojan dapat digunakan untuk mencuri nomor kartu kredit
dengan cara menangkap ketikan saat dilakukan proses transaksi online.
Cara lain adalah memanfaatkan lubang kemanan pada operating system di sisi
penjual atau pemberi jasa (server) dimanfaatkan untuk menyadap data-data
pelanggannya (client). Jika lubang ini dieksploitasi, kemungkinan data seluruh
pelanggan dari server tersebut jatuh ke tangan penyadap.
Pada gambar 4.1 adalah contoh kasus penyadapan yang dilakukan trojan pada
transaksi online.
Gambar 4.1 Contoh Kasus Penyadapan Trojan Pada Transaksi OnlineSumber : http://2.bp.blogspot.com/_Xw3ki4YUofw/SzJWZp0z06I/AAAAAAAAAGQ/u-ephoJtFaE/s320/Trojan.JPG
4.9 Cara Kerja Trojan
Trojan masuk melalui dua bagian, yaitu bagian client dan server. Ketika
korban (tanpa diketahui) menjalankan komputer, kemudian penyerang akan
menggunakan client untuk koneksi dengan server dan mulai menggunakan
trojan. Protokol TCP/IP adalah jenis protokol yang umum digunakan
untuk komunikasi. Trojan dapat bekerja dengan baik dengan jenis protokol
ini, tetapi beberapa trojan juga dapat menggunakan protokol UDP dengan
baik. Ketika server mulai dijalankan (pada komputer korban), Trojan
umumnya mencoba untuk menyembunyikan diri di suatu tempat dalam sistem
komputer tersebut, kemudian mulai “mendengarkan” di beberapa port untuk
melakukan koneksi, memodifikasi registry dan atau menggunakan metode lain
yaitu metode autostarting.
Hal yang penting untuk diketahui oleh penyerang adalah mengetahui IP
address korban untuk menghubungkan komputernya ke komputer korban.
Banyak varian Trojan mempunyai kemampuan mengirimkan IP address
korban ke penyerangnya, misalnya media ICQ maupun IRC. Hal ini
digunakan bagi korban yang mempunyai IP address dinamis, yang berarti
setiap kali menghubungkan ke Internet didapatkan IP address yang berbeda.
Untuk pemakai yang memanfaatkan Asymmetric Digital Suscriber Line
(ADSL) berarti selalu memakai IP address yang tetap (statis) sehingga
mudah diketahui dan mudah untuk dikoneksikan dengan komputer
penyerang.
Sebagian besar Trojan menggunakan metode auto-starting, yaitu Trojan akan
secara otomatis aktif saat komputer dihidupkan. Walaupun komputer
dimatikan dan kemudian dihidupkan lagi, Trojan mampu bekerja
kembali dan penyerang mengakses kembali ke komputer korban.
Metode baru auto-starting dan trik lain telah ditemukan sejak semula. Jenis
Trojan ini bekerja mulai dari koneksi trojan ke dalam beberapa file
executable yang sering digunakan misalnya explorer.exe dan kemudian
memodifikasi file sistem atau Windows Registry. File sistem ditempatkan di
direktori Windows. Dari direktori ini penyerang melaksanakan penyerangan
atau penyalahgunaan. Penyalahgunaan penyerang melewati file sistem adalah
sebagai berikut :
a. Autostart Folder
Autostart folder berada di lokasi C:\Windows\Start Menu\Programs\
Startup dan sesuai dengan namanya akan bekerja secara otomatis bagia
file sistem yang ditempatkan di folder tersebut.
b. Win.Ini.
File sistem Windows menggunakan load=trojan.exe dan
run=trojan.exe untuk menjalankan Trojan.
c. System.Ini.
Menggunakan shell=explorer.exe trojan.exe. Hal ini diakibatkan oleh
eksekusi setiap file setelah menjalankan explorer.exe.
d. Wininit.Ini.
Sebagian besar setup program menggunakan file ini. Sekali dijalankan
maka menjadi auto-delete, akibatnya Trojan sangat cekatan atau cepat
untuk bekerja kembali.
e. Winstart.Bat.
Bertindak seperti batch file yang normal, ketika ditambahkan@ trojan.exe
mampu menyembunyikan korbannya.
f. Autoexec.Bat.
Autoexec.Bat adalah file auto-starting Disk Operating System (DOS). File
tersebut digunakan sebagai metode auto-starting, yaitu dengan memasang
c:\trojan.exe.
g. Config.Sys.
Config.Sys juga dapat digunakan sebagai suatu metode auto-starting
untuk Trojan.
h. Explorer Startup.
Explorer Startup adalah suatu metode auto-starting untuk Windows95,
98, ME dan jika c:\explorer.exe ada, hal itu akan dimulai maka akan
menggantikan yang umum, yaitu c:\Windows\Explorer.exe.
4.9 Langkah Pendeteksian Trojan
Kadang-kadang pemakai komputer menganggap normal perilaku komputer
yang menjalankan program tertentu dan memakai hardisk dengan kapasitas
yang besar. Bahkan tidak curiga karena telah terpasang software anti-virus
yang dianggap telah mampu menangkal keberadaan Trojan. Banyak yang
mengira bahwa dengan anti- virus yang selalu di update dari situs
pembuatnya, maka pemakai telah aman dari masalah di Internet dan tidak
akan terinfeksi trojan atau komputernya diakses orang lain. Anggapan
tersebut tidak benar, karena banyak jalan dilakukan oleh penyerang untuk
menyusup ke komputer korban.
Tanda-tanda terserangnya komputer oleh Trojan dapat diketahui dengan
melihat perilaku tampilan komputer dan melakukan deteksi dengan anti-
virus maupun trojan scanner. Tanda-tanda yang diperlihatkan oleh tampilan
komputer dan patut dicurigai adalah sebagai berikut :
a. Saat mengunjungi suatu situs, terdapat beberapa pop-up yang muncul dan
telah mengunjungi salah satu pop-up. Tetapi ketika akan mengakhiri
kunjungan (tidak sepenuhnya dikunjungi), tiba-tiba browser mengarahkan
dan membuka secara otomatis beberapa halaman tidak dikenal.
b. Tampilan Kotak Pesan yang tak dikenal dan tampak di layar monitor.
c . Pesan berisi beberapa pertanyaan yang bersifat pribadi.
d. Tampilan Windows mengalami perubahan dengan sendirinya, misalnya
teks screensaver yang baru, tanggal/waktu, perubahan volume bunyi
dengan sendirinya, pointer mouse bergerak sendirinya, CD-ROM drive
membuka dan menutup sendiri.
e. Outlook Express menggunakan waktu yang cukup lama saat menutup
(close) atau terlihat hang (menggantung) ketika melihat preview-nya,
f. Adanya file yang rusak atau hilang,
g. Program yang tidak diketahui aktif terlihat di task list,
h. Tanda atau informasi dari firewall tentang outbound komunikasi dari
sumber yang tidak diketahui.
Sebagian tanda-tanda diatas biasanya dilakukan oleh penyerang tingkat
pemula dengan ciri memberikan tanda atau pesan di layar monitor. Hal ini
berbeda dengan penyerang tingkat lanjut, ia akan berusaha untuk menutupi
dirinya dan menghilangkan jejaknya saat melakukan penyusupan.
Penyerang tingkat lanjut melakukan penyadapan dan menggunakan komputer
yang infeksi untuk beberapa alasan yang spesifik, serta tidak menggunakan
cara-cara seperti penyerang tingkat pemula. Sehingga aktivitasnya diam-diam
dan tidak mencurigakan.