Pengetahuan yang luas tentang kemungkinan serangan pada masa depan adalah merupakan kunci sukses untuk melindungi dari virus. Para perancang harus memiliki mekanisme dalam mengurus kesempurnaan penyimpanan dan keganasan virus yang potensial dari berbagai sudut. Untuk itu kita berpikir bahwa kemampuan potensial yang bersifat merusak dan menyebar dari Worm seperti Warhol worm, Flash worm dan Curious Yellow untuk diselidiki dan dikaji secara luas dan maksimum. Ditinjau dari beberapa teknik virus pada masa lalu, kita dapat melihat mereka menggunakan beberapa tools cryptographic di dalam aktifitas jahatnya. Tools yang mengkawatirkan itu, dikombinasikan dengan kecepatan yang disebut superworms. Hal ini merupakan pekerjaan yang perlu diteliti saat ini.
Kecenderungan yang paling mengkawatirkan dan yang membedakan dalam arus serangan komputer adalah otomasi tinggi dan kecepatan, meningkatkan kesempurnaan tools serangan, menentukan dan menilai bagian yang mudah kena luka/serangan itu adalah susah untuk disimpan dan dipelihara, meningkatkan penyerapan firewalls dan sangat alami ancaman tidak simetris. Organisasi monitoring menyebutkan bahwa worms sebagai salah satu dari empat jenis serangan yang mengkawatirkan pada saat ini. Peristiwa yang paling terkemuka yang menyebabkan perhatian yang meliputi berkembangnya Worms seperti Code Red , Code Red II, Nimda, dan baru-baru ini, linux.slapper. Keempat jenis worms ini telah dicatat karena kecepatan perkembangbiakan mereka yang luar biasa; bagaimanapun, menurut kerusakkannya, mereka dinilai sebagai ancaman rendah. Seperti itu pertentangan antara tingkatan teknik perkembangbiakan dan kemampuan bersifat merusak adalah dengan seketika berbintik, dan beberapa pekerjaan menarik telah diproduksi bahwa ( kadang-kadang juga secara emosional) yang diletakkan dalam situasi sebenarnya dan yang diselidiki batas dari potensi bersifat menjalarnya yang cepat, bersatu dengan sifat dengkinya.
Bagaimanapun, potensi ini menjadi lebih ketika satu usaha untuk berkombinasi kecepatan dari worms dengan keganasan dari beberapa virus pada masa lalu. Kriptografi, adalah sebagai ilmu pengetahuan yang disediakan dalam mendukung tools untuk menguatkan / menyelenggarakan integritas dan kerahasiaan; bagaimanapun, ilmu ini tidak diragukan kekuatannya dan dapat digunakan sebagai peralatan yang sama untuk serangan ini. Sebagian dari virus yang dipelajari adalah bersandar pada tools kriptografi untuk menyebabkan kerusakan yang sungguh berat.
Sejarah Virus KomputerVirus komputer pertama kalinya tercipta bersamaan dengan komputer. Pada tahun 1949, salah seorang pencipta komputer, John von Newman, yang menciptakan Electronic Discrete Variable Automatic Computer (EDVAC), memaparkan suatu makalahnya yang berjudul “Theory and Organization of Complicated Automata”. Dalam makalahnya dibahas kemungkinan program yang dapat menyebar dengan sendirinya. Perkembangan virus komputer selanjutnya terjadi di AT&T Bell Laboratory salah satu laboratorium komputer terbesar di dunia yang telah menghasilkan banyak hal, seperti bahasa C dan C++.1 Di laboratorium ini, sekitar tahun 1960-an, setiap waktu istirahat para peneliti membuat permainan dengan suatu program yang dapat memusnahkan kemampuan membetulkan dirinya dan balik menyerang kedudukan lawan. Selain itu, program permainan dapat memperbanyak dirinya secara otomatis. Perang program ini disebut Core War, yaitu pemenangnya adalah pemilik program sisa terbanyak dalam selang waktu tertentu. Karena sadar akan bahaya program tersebut, terutama bila bocor keluar laboratorium tersebut, maka setiap selesai permainan, program tersebut selalu dimusnahkan. Sekitar tahun 1970-an , perusahaan Xerox memperkenalkan suatu program yang digunakan untuk membantu kelancaran kerja. Struktur programnya menyerupai virus, namun program ini adalah untuk memanfaatkan waktu semaksimal mungkin dan pada waktu yang bersamaan dua tugas dapat dilakukan. Pada tahun 1980-an, perang virus di dunia terbuka bermula atas pemaparan Fred Cohen, seorang peneliti dan asisten profesor di Universitas Cincinati, Ohio. Dalam pemaparannya, Fred juga mendemonstrasikan sebuah program ciptaannya, yaitu suatu virus yang dapat menyebar secara cepat pada sejumlah komputer. Sementara virus berkembang, Indonesia juga mulai terkena wabah virus. Virus komputer ini pertama menyebar di Indonesia juga pada tahun 1988. Virus yang begitu menggemparkan seluruh pemakai komputer di Indonesia, saat itu, adalah virus ©Brain yang dikenal dengan nama virus Pakistan.
Sejarah VirusLocal PC
• 1981 = Apple II
• 1983 = Elk Cloner
• 1986 = C Brain
• 1987 = Goodnight Vienna, Hello Lehigh
• 1988 = The Worm Turns
Internet Age
• 1989 = Worm, Dark Avenger,AIDS
• 1990 = Polymorphs & Multipartities
• 1991 = Renaissance Virus, Tequila Sunrise
• 1992 = Revenge of the turtle
• 1993 = Polymorphism Rules
• 1994 = SmokeMe a Kipper
• 1995 = Microsoft Office Macros
• 1996 = virus macros
• 1997 = hoax & chain letters
• 1998 = CIH
• 1999 = Trojan Back Orifice 2000
• 2000 = VBScript Worm
• 2000 era = DOS & DDOS
Pengertian Virus KomputerIstilah virus komputer tak asing lagi bagi kalangan pengguna komputer saat ini. Padahal, sekitar 12 tahun yang lalu, istilah ini telah dikenal oleh masyarakat pengguna komputer. Baru pada tahun 1988, muncul artikel-artikel di media massa yang dengan gencar memberitakan mengenai ancaman baru bagi para pemakai komputer yang kemudian dikenal dengan sebutan ‘virus komputer’. Virus yang terdapat pada komputer hanyalah berupa program biasa, sebagaimana layaknya program-program lain. Tetapi terdapat perbedaan yang sangat mendasar pada virus komputer dan program lainnya. Virus dibuat oleh seseorang dengan tujuan yang bermacam-macam, tetapi umumnya para pembuat virus hanyalah ingin mengejar popularitas dan juga hanya demi kesenangan semata. Tetapi apabila seseorang membuat virus dengan tujuan merusak maka tentu saja akan mengacaukan komputer yang ditularinya.
Kemampuan Dasar Virus KomputerDefinisi umum virus komputer adalah program komputer yang biasanya berukuran kecil yang dapat meyebabkan gangguan atau kerusakan pada sistem komputer dan memiliki beberapa kemampuan dasar, diantaranya adalah :
> Kemampuan untuk memperbanyak diri
Yakni kemampuan untuk membuat duplikat dirinya pada file-file atau disk-disk yang belum ditularinya, sehingga lama-kelamaan wilayah penyebarannya semakin luas.
> Kemampuan untuk menyembunyikan diri
Yakni kemampuan untuk menyembunyikan dirinya dari perhatian user, antara lain dengan cara-cara berikut :
a. Menghadang keluaran ke layar selama virus bekerja, sehingga pekerjaan virus tak tampak oleh user.
b. Program virus ditempatkan diluar track2 yang dibuat DOS (misalkan track 41)
c. Ukuran virus dibuat sekecil mungkin sehingga tidak menarik kecurigaan.
> Kemampuan untuk mengadakan manipulasi
Sebenarnya rutin manipulasi tak terlalu penting. Tetapi inilah yang sering mengganggu. Biasanya rutin ini dibuat untuk :
a. Membuat tampilan atau pesan yang menggangu pada layer monitor
b. Mengganti volume label disket
c. Merusak struktur disk, menghapus file-file
d. Mengacaukan kerja alat-alat I/O, seperti keyboard dan printer
> Kemampuan untuk mendapatkan informasi
Yakni kemampuan untuk mendapatkan informasi tentang struktur media penyimpanan seperti letak boot record asli, letak table partisi, letak FAT3, posisi suatu file, dan sebagainya.
> Kemampuan untuk memeriksa keberadaan dirinya
Sebelum menyusipi suati file virus memeriksa keberadaan dirinya dalam file itu dengan mencari ID (tanda pengenal) dirinya di dalam file itu. File yang belum tertular suatu virus tentunya tidak mengandung ID dari virus yang bersangkutan. Kemampuan ini mencegah penyusupan yang berkali-kali pada suatu file yang sama.
Jenis-jenis virus komputerBerikut ini akan dibahas jenis-jenis virus yang penulis simpulkan dari berbagai sumber, baik sumber pustaka maupun sumber dari internet.
Berdasarkan Teknik Pembuatannyaa. Virus yang dibuat dengan compiler
Adalah virus yang dapat dieksekusi karena merupakan virus yang telah di compile sehingga menjadi dapat dieksekusi langsung. Virus jenis ini adalah virus yang pertama kali muncul di dunia komputer, dan sampai sekarang terus berkembang pesat. Biasanya virus jenis ini dibuat dengan bahasa pemrograman tingkat rendah yang disebut dengan assembler, karena dengan menggunakan assembler program yang dihasilkan lebih kecil dan cepat, sehingga sangat cocok untuk membuat virus. Tetapi tidak tertutup kemungkinan untuk membuat virus dengan menggunakan bahasa pemrograman lainnya seperti C dan Pascal baik dilingkungan DOS maupun Windows .
Mungkin virus jenis ini adalah virus yang paling sulit untuk dibuat tetapi karena dibuat dengan menggunakan bahasa pemrograman dan berbentuk bahasa mesin maka keunggulan dari virus ini adalah mampu melakukan hampir seluruh manipulasi yang mana hal ini tidak selalu dapat dilakukan oleh virus jenis lain karena lebih terbatas.
b. Virus Macro
Banyak orang salah kaprah dengan jenis virus ini, mereka menganggap bahwa virus Macro adalah virus yang terdapat pada program Microsoft Word. Memang hampir seluruh virus Macro yang ditemui merupakan virus Microsoft Word. Sebenarnya virus Macro adalah virus yang memanfaatkan fasilitas pemrograman modular pada suatu program aplikasi tertentu seperti Microsoft Word, Microsoft Excel, Microsoft PowePoint, Corel WordPerfect, dan sebagainya. Tujuan dari fasilitas pemrograman modular ini adalah untuk memberikan suatu kemudahan serta membuat jalan pintas bagi aplikasi tersebut. Sayangnya fungsi ini dimanfaatkan oleh pembuat-pembuat virus untuk membuat virus didalam aplikasi tersebut. Walaupun virus ini terdapat didalam aplikasi tertentu tetapi bahaya yang ditimbulkan tidak kalah berbahanya dari virus-virus yang lain.
c. Virus Script/ Batch
Pada awalnya virus ini lebih dikenal dengan virus batch karena dulu terdapat pada file batch yang terdapat pada DOS, sekarang hal ini telah berganti menjadi script. Virus script biasanya sering didapat dari Internet karena kelebihannya yang fleksibel dan bisa berjalan pada saat kita bermain internet, virus jenis ini biasanya menumpang pada file HTML (Hype Text Markup Language) dibuat dengan menggunakan fasilitas script seperti Javascript, VBscript,4 maupun gabungan antara script yang mengaktifkan program Active-X dari Microsoft Internet Explorer.
Berdasarkan yang dilakukana. Virus Boot Sector
Virus Boot Sector adalah virus yang memanfaatkan gerbang hubungan antara komputer dan media penyimpan sebagai tempat untuk menularkan virus. Apabila pada boot sector terdapat suatu program yang mampu menyebarkan diri dan mampu tinggal di memory selama komputer bekerja, maka program tersebut dapat disebut virus. Virus boot sector terbagi dua yaitu virus yang menyerang disket dan virus yang menyerang disket dan tabel partisi.
b. Virus File
Virus file merupakan virus yang memafaatkan suatu file yang dapat diproses langsung pada editor DOS, seperti file berekstensi COM, EXE, beberapa file overlay, dan file BATCH. Virus umumnya tidak memiliki kemampuan untuk menyerang di semua file tersebut. Virus file juga dikelompokkan berdasarkan dapat atau tidaknya tinggal di memory.
c. Virus System
Virus sistem merupakan virus yang memanfaatkan file-file yang dipakai untuk membuat suatu sistem komputer. Contohnya adalah file dengan berekstensi SYS, file IBMBIO.COM, IBMDOS.COM, atau COMMAND.COM.
d. Virus Hybrid
Virus ini merupakan virus yang mempunyai dua kemampuan biasanya dapat masuk ke boot sector dan juga dapat masuk ke file. Salah satu contoh virus ini adalah virus Mystic yang dibuat di Indonesia.
e. Virus Registry WIndows
Virus ini menginfeksi operating system yang menggunakan Windows 95/98/NT biasanya akan mengadakan infeksi dan manipulasi pada bagian registry Windows sebab registry adalah tempat menampung seluruh informasi komputer baik hardware maupun software. Sehingga setiap kali kita menjalankan Windows maka virus akan dijalankan oleh registry tersebut.
f. Virus Program Aplikasi
Virus ini merupakan virus Macro, menginfeksi pada data suatu program aplikasi tertentu. Virus ini baru akan beraksi apabila kita menjalankan program aplikasi tersebut dan membuka data yang mengandung virus.
Berdasarkan media penyebarannyaa. Penyebaran dengan media fisik
Media yang dimaksudkan bisa dengan disket, CD-ROM (Compact Disc Read Only Memory), harddisk, dan sebagainya. Untuk CD-ROM, walaupun media ini tidak dapat dibaca tetapi ada kemungkinan suatu CD-ROM mengandung virus tertentu, walaupun kemungkinannya kecil, tetapi seiring dengan berkembangnya alat CD-R/CD-RW yang beredar dipasaran maka kemungkinan adanya virus didalam CD-ROM akan bertambah pula. Untuk saat ini virus jenis ini yang menjadi dominan dari seluruh virus yang ada. Virus ini akan menular pada komputer yang masih belum tertular apabila terjadi pengaksesan pada file/media yang mengandung virus yang diikuti dengan pengaksesan file/media yang masih bersih, dapat juga dengan mengakes file/media yang masih bersih sedangkan di memori komputer terdapat virus yang aktif.
b. Penyebaran dengan Media Internet
Akhir-akhir ini virus yang menyebar dengan media sudah semakin banyak, virus ini biasanya menyebar lewat e-mail ataupun pada saat kita mendownload suatu file yang mengandung virus. Juga ada beberapa virus yang secara otomatis akan menyebarkan dirinya lewat e-mail apabila komputer memiliki hubungan ke jalur internet.
Aktivitas Virus
• Kelalaian user
– Copy paste file/data dari luar
– Download dari internet
• Network
– Akses user
– Server / pc yang terjankit virus
Pengenalan WormDefenisi WormsAnda tentu masih ingat iklan di media televisi beberapa tahun silam, "Anak anda cacingan?". Berhubungan dengan cacing, tulisan ini membahas cacing atau istilah asingnya worms. Cacing-cacing di Internet (Worms) adalah autonomous intrusion agents yang mampu melakukan penggandaan-diri dan menyebar dengan memanfaatkan kelemahan-kelemahan sekuriti (security flaws) pada services yang umum digunakan. Worm bukanlah sebuah fenomena baru, ditemukan pertama kali penyebarannya pada tahun 1988. Worms telah menjadi sebuah ancaman yang mematikan di Internet, walaupun sebagian besar kasus yang terjadi secara spesifik adalah pada sistim berbasis Windows. Beberapa jenis worms terbaru memanfaatkan electronic mail (e-mail) sebagai medium penyebarannya.
Metode aktivasi dan mekanisme penyebaran wormsPerbedaan mendasar antara worm dan virus terletak pada bagaimana mereka membutuhkan intervensi user untuk melakukan penggandaandiri dan menyebar menginfeksi sistim komputer. Virus lebih lambat dalam melakukan penyebaran jika dibandingkan dengan worm. Namun virus mempunyai kemampuan lebih untuk menghindari deteksi program anti-virus yang berusaha mengidentifikasi dan mengontrol penyebaran virus pada sistim komputer. Namun pada praktek penyebarannya sebuah virus dapat menjadi sebuah worm. Untuk memudahkan pembahasan, kita membatasi terminologi antara worm dan virus dengan mempertimbangkan metode aktivasi yang dilakukan oleh sebuah worm proses yang dilakukan sebuah worm untuk mengeksekusi pada sebuah sistim komputer dan mekanisme penyebaran proses yang memungkinkansebuah worm berkelana dari satu host ke host yang lain.
Metode aktivasiPengertian bagaimana worm dapat aktif pada sebuah host berhubungan erat dengan kemampuan worm untuk menyebarkan diri, sejumlah worms dapat diatur untuk aktif secara langsung (activated nearly immediately), sementara yang lain dapat menunggu beberapa hari, minggu atau bahkan bulan untuk dapat teraktivasi dan kemudian menyebarkan-dirinya.
a. Aktivasi dengan intervensi user
Merupakan proses aktivasi paling lambat karena membutuhkan intervensi user untuk mengeksekusi worm tersebut, baik disadari maupun tidak oleh user tersebut. Namun karena sosialisasi yang gencar dilakukan mengenai bahaya worm dan virus, user dapat lebih cermat dengan tidak mengeksekusi program asing atau membuka attachment e-mail dari orang yang tidak dikenalnya, hal ini tentu akan memperlambat proses aktivasi worm. Tetapi pembuat worm tidak putus asa dengan kondisi tersebut sehingga mereka melakukan teknik social engineering seperti yang dilakukan oleh virus Melissa yang seolah-olah mengirimkan informasi penting dari orang yang telah dikenal oleh korban atau pesan-pesan personal lainnya yang dikirimkan oleh virus ILOVEYOU. Walaupun Melissa adalah sebuah virus macro pada program MicrosoftWord namun dengan intervensi user maka penyebaran Melissa di Internet sempat menjadi ancaman yang paling menakutkan.
b. Aktivasi terjadwal
Metode aktivasi worm yang lebih cepat adalah dengan menggunakan proses terjadwal pada sistim (scheduled system proces). Ada banyak program yang berjalan pada lingkungan desktop maupun server untuk melakukan proses sesuai dengan jadwal yang diberikan. Metode ini tetap membutuhkan intervesi manusia namun kali ini intervensi attacker yang dibutuhkan. Sebagai contoh, program auto-update dari sistim yang melakukan proses updating ke server vendor. Dengan melakukan update ke remote host sebagai master, seorang attacker yang cerdik dapat memanfaatkan proses tersebut untuk menyebarkan worm dengan terlebih dahulu menguasai remote host atau gateway pada network maupun di Internet dan mengganti atau menginfeksi file yang dibutuhkan pada proses update dengan kode program worm.
c. Aktivasi mandiri
Metode aktivasi mandiri adalah metode tercepat worm dalam menggandakandiri, menyebar, dan menginfeksi host korban. Metode ini paling populer digunakan oleh para penulis worm. Umumnya worm yang menggunakan metode ini memanfaatkan kelemahan sekuriti (security flaw) pada service yang umum digunakan. Sebagai contoh, worm CodeRed yang mengeksploitasi webserver IIS. Worm akan menyertakan dirinya pada service daemon yang sudah dikuasainya atau mengeksekusi perintah-perintah lain dengan privilege yang sama dengan yang digunakan oleh daemon tersebut. Proses eksekusi tersebut akan berlangsung ketika worm menemukan vulnerable service dan melakukan eksploitasi terhadap service tersebut.
Mekanisme PenyebaranWorm menginfeksi host korban dan memasukkan kode program sebagai bagian dari program worm ke dalamnya. Kode program tersebut dapat berupa machine code, atau routine untuk menjalankan program lain yang sudah ada pada host korban. Dalam proses penyebarannya, worm harus mencari korban baru dan menginfeksi korban dengan salinan dirinya. Proses pendistribusian tersebut dapat berlangsung sebagai proses distribusi satuan (dari satu host ke host yang lain) atau sebagai proses distribusi masal (dari satu host ke banyak host).
Proses distribusi masal dipertimbangkan sebagai metode penyebaran tercepat dengan asumsi batasan yang digunakan adalah satuan waktu. Terdapat beberapa mekanisme penyebaran yang digunakan worm untuk menemukan calon korban yaitu dengan melakukan scanning, mencari korban berdasarkan target list yang sudah dipersiapkan terlebih dahulu oleh penulis worm atau berdasarkan list yang ditemukan pada sistim korban maupun di metaserver, serta melakukan monitoring secara pasif.
a. Scanning
Metode scanning melibatkan proses probing terhadap sejumlah alamat di Internet dan kemudian mengidentifikasi host yang vulnerable. Dua format sederhana dari metode scanning adalah sequential (mencoba mengidentifikasi sebuah blok alamat dari awal sampai akhir) dan random (secara acak). Penyebaran worm dengan metode scanning baik sequential maupun random, secara komparatif dapat dikatakan lambat, namun jika dikombinasikan dengan aktivasi secara otomatis, worm dapat menyebar lebih cepat lagi. Worm yang menggunakan metode scanning biasanya mengeksploitasi security holes yang sudah teridentifikasi sebelumnya sehingga secara relatif hanya akan menginfeksi sejumlah host saja. Metode scanning lainnya yang dinilai cukup efektif adalah dengan menggunakan bandwidth-limited routine (seperti yang digunakan oleh CodeRed, yaitu dengan membatasi target dengan latensi koneksi dari sistim yang sudah terinfeksi dengan calon korban yang baru), mendefinisikan target yang hanya terdapat pada local address (seperti dalam sebuah LAN maupunWAN), dan permutasi pada proses pencarian. Scanning yang dilakukan worm tidaklah spesifik terhadap aplikasi sehingga attacker dapat menambahkan sebuah exploit baru pada sebuah worm yang sudah dikenal. Sebagai contoh, worm Slapper mendapatkan muatan exploit baru dan menjadikannya sebuah worm baru yaitu Scalper.
b. Target lists
Sebuah worm dapat memiliki target list yang sudah ditentukan sebelumnya oleh penulis worm tersebut. Dengan target list yang sudah ditentukan terlebih dahulu membuat sebuah worm lebih cepat dalam menyebar, namun tentu saja penyebaran tersebut akan sangat terbatas karena target berdasarkan sejumlah alamat di Internet yang sudah ditentukan. Selain itu, worm dapat menemukan list yang dibutuhkan pada host korban yang sudah dikuasainya, list ini umumnya digunakan oleh worm yang metode penyebarannya berdasarkan topologi network. Informasi yang didapat contohnya adalah IP address sistim tersebut dan worm mengembangkannya menjadi sebuah subnet pada LAN atauWAN.
c. Monitoring secara pasif
Worm pasif tidak mencari korbannya, namun worm tersebut akan menunggu calon korban potensial dan kemudian menginfeksinya. Walaupun metode ini lebih lambat namun worm pasif tidak menghasilkan anomalous traffic patterns sehingga keberadaan mereka akan sulit diketahui. Sebagai contoh, "antiworm" CRClean tidak membutuhkan aktivasi user, worm ini menunggu serangan worm CodeRed dan turunannya, kemudian melakukan respon dengan melakukan counter-attack. Jika proses counter-attack berhasil, CRClean akan menghapus CodeRed dan menginfeksi korban dengan menginstal dirinya pada mesin. Sehingga CRClean dapat menyebar tanpa melakukan proses scanning.
SuperwormsWarhol WormDiskusi mengenai warhol worm dimulai ketika jenis ini mulai menyerang internet pada tahun 2001. Jenis yang terkenal adalah virus Code Red yang sangat cepat penyerangannya. Jenis ini otomatis melakukan scanning secara acak pada korbannya dan menggunakan hanya pada sifat yang mudah kena serang dalam Internet Information Services (IIS). Berdasarkan analisis bahwa bagian web server yang terkena serangan menyebar secara berlipat ganda dalam setiap waktu. Pada awalnya, setiap server yang terkena serangan dapat kita temukan 1,8 bagian lain yang terkena serangan dalam setiap jam, rata-rata 0.7 Code Red menggandakan dirinya pada tanggal 19 July 2001. Suatu karakteristik yang membedakan Code Red adalah melakukan scanning secara acak. Berdasarkan data bahwa Code Red melakukan scanning pada bagian komputer yang mudah kena serangan sampai 500.000 waktu per jam.
Code Red II menargetkan menyerang pada bagian yang sama dari IIS yang diserang Code Red. Sebuah strategi scanning yang dilakukannya, dimana Code Red II memilih secara acak alamat IP dari ruang alamat korban kelas B dengan kemungkinan 3/8, secara acak ruang alamat IP dari korban kelas A dengan kemungkinan ½, dan kemungkinan 1/8 dari ruang alamat IP secara keseluruhan. Berdasarkan strategi dari penyerangannya, kita dapat menyimpulkan bahwa Code Red II hampir dipastikan juga melakukan tujuan yang bersifat percobaan.
Jenis lain yang akan dijabarkan adalah Nimda worm. Nimda menggunakan lima cara yang berbeda dalam penyebarannya, yakni bagian IIS yang mudah kena serangan yaitu : email, bagian jaringan yang terbuka (dishare), halaman web yang terinfeksi menyebar kepada pengunjung yang melakukan browsing, dan bagian-bagian yang telah diserang oleh Code Red II dan virus.
Contoh lain adalah Warhol worm dan Flash worm, pada tulisan ini tidak dijelaskan secara mendetail. Konsep kerja dari warhol worm dengn cara ”hit-list scanning”, yaitu mengumpulkan bagian-bagian (listing) yang sebagai target dalam penyerangannya. Permutasi scanning adalah salah satu target perkembangbiakan yang lain untuk mengurangi overlap scanning diantara seluruh worm. Worm baru berkembang biak pada sebuah ruang alamat IP dengan cara permutasi dengan menggunakan sebuah block chiper 32-bit dan pre-selected key. Worm akan meng-encrypt sebuah IP untuk mengambil permutasi yang bersesuaian, kemudian melakukan decrypt untuk mengambil sebuah IP. Selama terinfeksi, worm akan meningkatkan permutasi mulai dari IP hash secara acak.
Curious YellowBagian utama dari komunikasi dan koordinasi alamat adalah merancang sebuah Curious Yellow worm. Bagian ini akan menguraikan keuntungan-keuntungan dari koordinasi worm, kemudahan dalam mengontrol dan mekanisme yang up to date, serta mengungkapkan lebih sedikit dari lalu lintas worm. Berbagai kesulitan dalam koordinasi diantaranya adalah masalah skala koordinasi, penekanan harga koordinasi, kebutuhan untuk megambil kedalam laporan, dll.
Sebuah konsep hipotesis dari Curious Blue, worm menyapu bersih setelah infeksi sebuah Curous Yellow dengan menggunakan strategi penyebaran yang sama, atau dengan memanfaatkan bagian yang mudah kena serangan di dalam Curious Yellow sendiri dengan cara yang cepat. Untuk itu tingkat keamanan yang lebih baik dapat menghindari dari serangan-serangan worm tersebut.
Trojan HorseTrojan horse atau Kuda Troya, dalam keamanan komputer merujuk kepada sebuah bentuk perangkat lunak yang mencurigakan (malicious software / malware) yang dapat merusak sebuah sistem atau jaringan. Dapat disebut sebagai Trojan saja (membuang kata horse).Trojan berbeda dengan jenis perangkat lunak mencurigakan lainnya seperti virus komputer atau worm karena dua hal berikut:
* Trojan bersifat "stealth" (siluman dan tidak terlihat) dalam operasinya dan seringkali berbentuk seolah-olah program tersebut merupakan program baik-baik, sementara virus komputer atau worm bertindak lebih agresif dengan merusak sistem atau membuat sistem menjadi crash.
* Trojan tidak mereplikasi dirinya sendiri, sementara virus komputer dan worm melakukannya.
Penggunaan istilah Trojan atau Trojan horse dimaksudkan untuk menyusupkan kode-kode mencurigakan dan merusak di dalam sebuah program baik-baik dan berguna; seperti halnya dalam Perang Troya, para prajurit Yunani bersembunyi di dalam Kuda Troya yang ditujukan sebagai pengabdian kepada Poseidon. Kuda Troya tersebut menurut para petinggi Troya dianggap tidak berbahaya, dan diizinkan masuk ke dalam benteng Troya yang tidak dapat ditembus oleh para prajurit Yunani selama kurang lebih 10 tahun perang Troya bergejolak.Kebanyakan Trojan saat ini berupa sebuah berkas yang dapat dieksekusi (*.EXE atau *.COM dalam sistem operasi Windows dan DOS atau program dengan nama yang sering dieksekusi dalam sistem operasi UNIX, seperti ls, cat, dan lain-lain) yang dimasukkan ke dalam sistem yang ditembus oleh seorang hacker untuk mencuri data yang penting bagi pengguna (password, data kartu kredit, dan lain-lain). Trojan juga dapat menginfeksi sistem ketika pengguna mengunduh aplikasi (seringnya berupa game komputer) dari sumber yang tidak dapat dipercayai dalam jaringan Internet. Aplikasi-aplikasi tersebut dapat memiliki kode Trojan yang diintegrasikan di dalam dirinya dan mengizinkan seorang cracker untuk dapat mengacak-acak sistem yang bersangkutan. Beberapa jenis Trojan yang beredar antara lain adalah:
* Pencuri password : Jenis Trojan ini dapat mencari password yang disimpan di dalam sistem operasi (/etc/passwd atau /etc/shadow dalam keluarga sistem operasi UNIX atau berkas Security Account Manager (SAM) dalam keluarga sistem operasi Windows NT) dan akan mengirimkannya kepada si penyerang yang asli. Selain itu, jenis Trojan ini juga dapat menipu pengguna dengan membuat tampilan seolah-olah dirinya adalah layar login (/sbin/login dalam sistem operasi UNIX atau Winlogon.exe dalam sistem operasi Windows NT) serta menunggu pengguna untuk memasukkan passwordnya dan mengirimkannya kepada penyerang. Contoh dari jenis ini adalah Passfilt Trojan yang bertindak seolah-olah dirinya adalah berkas Passfilt.dll yang aslinya digunakan untuk menambah keamanan password dalam sistem operasi Windows NT, tapi disalahgunakan menjadi sebuah program pencuri password.
* Pencatat penekanan tombol (keystroke logger/keylogger): Jenis Trojan ini akan memantau semua yang diketikkan oleh pengguna dan akan mengirimkannya kepada penyerang. Jenis ini berbeda dengan spyware, meski dua hal tersebut melakukan hal yang serupa (memata-matai pengguna).
* Tool administrasi jarak jauh (Remote Administration Tools/RAT): Jenis Trojan ini mengizinkan para penyerang untuk mengambil alih kontrol secara penuh terhadap sistem dan melakukan apapun yang mereka mau dari jarak jauh, seperti memformat hard disk, mencuri atau menghapus data dan lain-lain. Contoh dari Trojan ini adalah Back Orifice, Back Orifice 2000, dan SubSeven.
* DDoS Trojan atau Zombie Trojan: Jenis Trojan ini digunakan untuk menjadikan sistem yang terinfeksi agar dapat melakukan serangan penolakan layanan secara terdistribusi terhadap host target.
* Ada lagi sebuah jenis Trojan yang mengimbuhkan dirinya sendiri ke sebuah program untuk memodifikasi cara kerja program yang diimbuhinya. Jenis Trojan ini disebut sebagai Trojan virus.
Mendeteksi keberadaan Trojan merupakan sebuah tindakan yang agak sulit dilakukan. Cara termudah adalah dengan melihat port-port mana yang terbuka dan sedang berada dalam keadaan "listening", dengan menggunakan utilitas tertentu semacam Netstat. Hal ini dikarenakan banyak Trojan berjalan sebagai sebuah layanan sistem, dan bekerja di latar belakang (background), sehingga Trojan-Trojan tersebut dapat menerima perintah dari penyerang dari jarak jauh. Ketika sebuah transmisi UDP atau TCP dilakukan, tapi transmisi tersebut dari port (yang berada dalam keadaan "listening") atau alamat yang tidak dikenali, maka hal tersebut bisa dijadikan pedoman bahwa sistem yang bersangkutan telah terinfeksi oleh Trojan Horse.
Cara lainnya yang dapat digunakan adalah dengan membuat sebuah "snapshot" terhadap semua berkas program (*.EXE, *.DLL, *.COM, *.VXD, dan lain-lain) dan membandingkannya seiring dengan waktu dengan versi-versi terdahulunya, dalam kondisi komputer tidak terkoneksi ke jaringan. Hal ini dapat dilakukan dengan membuat sebuah checksum terhadap semua berkas program (dengan CRC atau MD5 atau mekanisme lainnya). Karena seringnya Trojan dimasukkan ke dalam direktori di mana sistem operasi berada (\WINDOWS atau \WINNT untuk Windows atau /bin, /usr/bin, /sbin, /usr/sbin dalam keluarga UNIX), maka yang patut dicurigai adalah berkas-berkas yang berada di dalam direktori tersebut. Banyak berkas yang dapat dicurigai, khususnya berkas-berkas program yang memiliki nama yang mirip dengan berkas yang "baik-baik" (seperti "svch0st.exe", dari yang seharusnya "svchost.exe", sebuah berkas yang dijalankan oleh banyak layanan sistem operasi Windows) dapat dicurigai sebagai Trojan Horse.
Cara terakhir adalah dengan menggunakan sebuah perangkat lunak antivirus, yang dilengkapi kemampuan untuk mendeteksi Trojan yang dipadukan dengan firewall yang memonitor setiap transmisi yang masuk dan keluar. Cara ini lebih efisien, tapi lebih mahal, karena umumnya perangkat lunak antivirus yang dipadukan dengan firewall memiliki harga yang lebih mahal dibandingkan dengan dua cara di atas (yang cenderung "gratis"). Memang, ada beberapa perangkat yang gratis, tapi tetap saja dibutuhkan waktu, tenaga dan uang untuk mendapatkannya (mengunduhnya dari Internet).Berikut ini adalah contoh penggunaan utilitas Netstat dalam Windows XP Professional
C:\>netstat -a -b
Active Connections
Proto Local Address Foreign Address State
PID
TCP windows-xp:epmap 0.0.0.0:0 LISTENING
956
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\svchost.exe
-- unknown component(s) --
[svchost.exe]
TCP windows-xp:microsoft-ds 0.0.0.0:0 LISTENING
4
[System]
TCP windows-xp:50300 0.0.0.0:0 LISTENING
1908
[oodag.exe]
TCP windows-xp:1025 0.0.0.0:0 LISTENING
496
[alg.exe]
TCP windows-xp:1030 0.0.0.0:0 LISTENING
1252
[ccApp.exe]
UDP windows-xp:microsoft-ds *:*
4
[System]
UDP windows-xp:4500 *:*
724
[lsass.exe]
UDP windows-xp:isakmp *:*
724
[lsass.exe]
UDP windows-xp:1900 *:*
1192
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]
UDP windows-xp:ntp *:*
1036
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]
• Trojan Horse Konsep yang digunakan seperti pada zaman romawi kuno, Berbeda dengan virus, Trojan Horse tidak dapat memproduksi diri sendiri.
• suatu program yang tersembunyi dan jika telah diaktifkan maka program tersebut dapat mengendalikan komputer korban lewat jarak jauh
• Sulit untuk diidetifikasi karena sering tampak file yang tidak berbahaya
• Antivirus sering kecolongan
• Pada umumnya, mereka dibawa oleh utility program lainnya atau menjebak dengan ”jebakan” sesuatu yang free
• Trojan Horse itu sendiri ber"lagak" sebagai utility program.
• Contoh Trojan Horse: Win-Trojan/Back Orifice, Win-Trojan/SubSeven, Win Trojan/Ecokys(Korean).
Contoh :
– Backorifice 2000 (BO), Deep Back Orifice, Zeus, dll
– BO dibuat oleh Cult of the Dead Cow (cDc)
– Trojan tidak mempunyai masa aktif
– Tetap hidup sebelum diformat abis
– Biasanya menggunakan port diatas 12345, 20034 dan 31337
– Back Orifice/Back Orifice : 2000, 54320, 54321
– NetBus V 1.60 & 1.70 : 12345
– NetBusPro 2.01 : 20034
– SubSeven : 27374
– Deep Throat : 2140 & 3150
Deteksi BO di PC
• Used utility Netstat (Windows) ketikan netstat –an
• Perhatikan port yang open,….
Kill & Destroy BO
• Buka \windows\system lalu hapus windll.dll dan *.exe
• Buka regedit :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run lalu hapuslah .exe.
Kill & Destroy NetBus
• Cari program defaultnya ‘patch.exe’ dan delete
• Regedit :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• Cari file .exe dan tambahkan parameter/remove.
Kill & Destroy Deep Troat
• Temukan file ‘systempatch.exe’
• Regedit :
HKEY_LOCAL_MACHINE\SOFTWARE\\Windows\CurrentVersion\Run
• Hapus nilainya.
Cara Menanggulangi Serangan VirusAda beberapa langkah prefentif untuk mencegah virus, worm, dan trojan masuk ke dalam sistem komputer anda, berikut beberapa langkah tersebut:
Install software Anti Virus pada sistem komputerSebagai perlindungan di garis depan, penggunaan anti virus adalah wajib. Ada banyak anti virus yang beredar di pasaran saat ini. Beberapa yang cukup handal diantaranya adalah
McAfree VirusScan (www.mcafee.com), Norton Anti Virus (www.symantec.com), PC-MAV, AVG, Kepersky.
Sering-seringlah melakukan Update database program anti virusRatusan virus baru muncul setiap bulannya. Usahakan untuk selalu meng-update database dari program anti virus yang anda gunakan. Database terbaru dapat dilihat pada website perusahaan pembuat program anti virus yang anda gunakan.
Jangan ragu untuk menggunakan Firewall PersonalMenggunakan firewall akan menyebabkan akses yang keluar masuk ke sistem komputer kita dapat diatur, kita dapat melakukan otentifikasi terhadap paket data, apakah paket tersebut disetujui atau ditolak.
Paranoidlah terhadap file-file baru yang akan anda buka
Misalnya seperti file dibawah ini…
scanning terlebih dahulu dengan anti virus sebelum menjalankan sebuah file yang
didapat dari mendownload di internet atau mengkopi dari orang lain. Apabila anda biasa
menggunakan sarana e-mail, berhati-hatilah setiap menerima dalam bentuk
file executable. Waspadai file-file yang berekstensi Jangan terkecoh untuk langsung membukanya sebelum melakukan scanning dengan software anti virus.
File diatas adalah hasil perubahan pada file saya setelah terkena virus Brain.
Sering-seringlah memeriksa kondisi sistem komputer andaJika tiba-tiba performa sistem menurun secara drastis, khususnya saat melakukan operasi pembacaan/penulisan file pada disk, serta munculnya masalah pada software saat dioperasikan bisa jadi merupakan indikasi bahwa sistem telah terinfeksi oleh virus.
Lakukan Back Up data secara berkalaLangkah ini mungkin tidak akan bisa menyelamatkan data anda dari ancaman virus, namun akan berguna apabila suatu saat virus betul-betul menyerang dan merusak data pada sistem komputer yang anda gunakan. Sebagai langkah prefentif, maka anda tidak akan kehilangan seluruh data yang telah anda backup ketika virus merusak seluruh file pada sistem komputer anda.
Terus bagaimana cara mengatasi spam? Spam kan beda dari virus, worm, dan trojan?
Berikut ini adalah langkah teknis dan non-teknis yang dapat digunakan untuk meminimalisir kerja dari spam.
Filtering
Filtering pada intinya adalah tindakan yang bertujuan membantu penerima email untuk memilah-milah secara otomatis mana email yang “benar” dan mana spam, sehingga menghemat waktu dan tenaga. Ketika spam mulai berkembang, solusi pemfilteran banyak yang diusulkan oleh para “pekerja komputer”. Dari solusi yang sederhana sampai solusi yang menggunakan algoritma kompleks. Dari yang sifatnya personal sampai solusi yang diciptakan secara kolaboratif. Dari yang gratis sampai jasa komersial oleh third party.
Teknologi filtering yang berkembang saat ini sudah cukup memuaskan. Solusi seperti SpamAssassin misalnya—yang menjadi favorit banyak sysadmin/user—menggunakan berbagai cara untuk mengidentifikasi spam. Mulai dari deteksi header, pencarian kata-kata yang umum ada di spam, hingga integrasi dengan sistem pemfilteran lain. Kualitas filter ditentukan dari rendahnya false positive (pesan biasa salah terdeteksi sebagai spam) dan tingginya true positive. Dengan filter-filter yang ada sekarang, telah dimungkinkan mencapai akurasi di atas 95% true positive dan false positive mendekati 0%. Bahkan banyak filter pun telah memiliki kemampuan untuk melakukan autoreporting: manakala spam ditemukan, langsung dilaporkan atau ditambahkan ke dalam database untuk membantu proses penanganan spam lainnya.
Blocking
Blocking adalah tindakan yang dilakukan pada level mesin/jaringan untuk menolak mesin lain yang telah dikenal sebagai tempat asal/tempat relay spam. Daftar mesin-mesin nakal ini dipelihara dan diupdate terus oleh organisasi-organisasi tertentu, dan mesin-mesin lain dapat memanfaatkannya. Meskipun dapat mengirit bandwidth jaringan-jaringan yang menolak spam, namun terdapat dua kelemahan yang mana menjadi argumen kritikan terhadap penggunaan blocking RBL ini. Yang pertama, spammer akan selalu bisa menyampaikan email spamnya melalui jalur-jalur lain. Toh tidak mungkin kita memblok semua mesin/jaringan yang ingin mengirimkan email kepada kita.
kedua, semakin banyak jalur yang diblok, maka akan lebih besar kemungkinan ada pengguna yang tidak bisa menerima email tertentu karena kebetulan mesin pengirim sedang masuk dalam daftar hitam. Namun di luar kelemahan ini, RBL telah banyak membantu melawan dan mempersulit spammer-spammer besar. Mereka terpaksa mencari jalur lain seperti berpindah ISP.
Prosedur Penanganan Serangan VirusBeberapa hal ini dapat digunakan sebagai prosedur penanganan serangan virus:
1. Isolasi dan memutus koneksi
- Hal pertama yang dapat dilakukan apabila Anda merasa atau mengetahui telah terkena virus adalah dengan memutus koneksi fisik komputer Anda dari jaringan.
- Dengan asumsi bahwa komputer Anda yang membawa virus dan menyebarkan ke jaringan atau sebaliknya komputer Anda terkena virus dari jaringan.
- Tetaplah memutus koneksi dari jaringan sampai dilakukan penghapusan virus tersebut dari komputer Anda atau sebaliknya dari jaringan.
2. Hapus virus tersebut
- Setelah komputer diisolasi dan diputuskan dari jaringan, maka dilakukan penghapusan program virus tersebut. Dengan menggunakan program anti-virus yang spesifik dapat menangani virus tersebut.
- Menghapus program virus tersebut atau file-file yang terkena olehnya tidaklah cukup. Banyak virus yang mencopy dirinya ke banyak rupa dan bersembunyi di berbagai tempat, bersembunyi dan menginfeksi program dan dokumen lain. Contohnya trojan horse yang membuat suatu pintu masuk belakang bagi hacker atau program jahat lain untuk dapat masuk. Walaupun file Trojan tersebut dihapus namun lubang keamanannya masih terbuka. Cara untuk memperbaikinya adalah dengan menjalankan program penghapus yang dikhususkan untuk virus/trojan tersebut.
3. Kembalikan data Anda
Banyak akibat yang ditimbulkan dari serangan virus mulai dari penamaan ulang sampai penghapusan file-file berharga kita. Setelah virus dihapus maka dapat dilakukan:
- Instal ulang program-program
Beberapa virus dapat menghancurkan sistem operasi Anda, untuk itu gunakanlah CD instalasi ulang cepat sistem operasi yang berasal dari vendor perangkat keras Anda ataupun yang Anda siapkan sendiri berdasarkan kondisi sistem sebelum terkena virus. Untuk instal kembali aplikasi-aplikasi maka diperlukan dokumen berisi petunjuk instalasi aplikasi tersebut atau lisensi aplikasi untuk registrasi ulang.
- Periksa akan virus
Setelah sistem berjalan seperti semula, maka lakukanlah pemeriksaan akan virus secara menyeluruh terhadap semua file dan dokumen yang ada pada komputer tersebut. Begitupula dengan yang ada pada semua komputer di jaringan termasuk server.
- Kembalikan file-file
Kehilangan file-file data tergantung pada jenis serangan dari virus tersebut. Apabila virus tersebut menyerang program aplikasi maka file-file data dapat tidak terserang. Namun seringkali juga virus menyebabkan kehilangan file-file data, dan kehilangan tidak dapat dihindari. Sehingga untuk dapat mengembalikannya tergantung dari rutinitas back-up yang Anda lakukan.
- Dokumentasikan proses tersebut
Dokumentasikan langkah-langkah yang Anda lakukan dalam memperbaiki sistem, mencakup file dan aplikasi mana yang Anda kembalikan dan metode yang digunakan. Apabila ada hal-hal tidak diinginkan dapat dilacak ulang, atau dapat juga digunakan untuk referensi apabila terjadi serangan serupa.
4. Cegah infeksi akan datang
- Setelah segala kesulitan akibat virus pasti Anda ingin sistem yang terbebas virus di masa yang akan datang. Penting untuk memakai perangkat lunak antivirus dan selalu update definisi virusnya. Apabila belum memakai anti-virus, mulailah dari sekarang. Apabila sudah, segeralah update definisi virusnya. Kemudian instal update/patch yang dibutuhkan oleh sistem operasi dan seluruh aplikasi yang ada untuk menutup semua kemungkinan lubang keamanan.
- Kemudian, ubahlah semua password Anda, termasuk password akses ke ISP, FTP, e-mail, dan situs web yang berpassword. Beberapa program virus dapat menangkap password Anda atau membongkarnya, sehingga dapat disalahgunakan penciptanya. Walaupun tidak diserang virus mengganti password adalah penting. Semua data berharga yang ada di komputer sebaiknya diberi password, dan sebaiknya dibuat atau diganti saat ini. Password setidaknya 8 karakter, kombinasi dari huruf besar atau kecil, angka, simbol, dan tanda-tanda huruf lain. Hindari menggunakan kata-kata yang mudah dikenali, frase dan juga nama.
5. Belajar dari kesalahan Anda
- Walaupun serangan virus dapat sulit disembuhkan, serangan itu dapat digunakan untuk evaluasi penerapan keamanan Anda saat ini. Jika saat ini virus masuk, kemungkinan akan datang juga bisa. Penting untuk evaluasi ukuran-ukuran keamanan Anda, bila ada, dan mengapa tidak efektif. Apakah Anda membutuhkan firewall? Apakah pegawai mendownload file tanpa memeriksa akan virus? Apakah Anda membuka attachment dari e-mail tidak dikenal? Apakah definisi virus Anda up-to-date?
- Apakah Anda kehilangan data yang sebenarnya dapat dikembalikan menggunakan back-up? Lakukanlah back-up secara rutin dan simpanlah di tempat lain yang sekiranya aman.
