BAB I MALICIOUS SOFTWARE

Malware (singkatan dari istilah Bahasa Inggris malicious software, yang berarti perangkat lunak yang mencurigakan) adalah program komputer yang diciptakan dengan maksud dan tujuan tertentu dari penciptanya dan merupakan program yang mencari kelemahan dari software. Umumnya malware diciptakan untuk membobol atau merusak suatu software atau sistem operasi melalui script yang disisipkan secara tersembunyi oleh pembuatnya. Pada dasarnya malware adalah program berbahaya dan tidak diinginkan yang dapat merusak sistem komputer, menghambat akses internet dan yang paling berbahaya yaitu mencuri informasi seperti password dan no kartu kredit kita.

Dengan memanfaatkan koneksi jaringan dan internet, Malware yang merupakan sebuah perangkat lunak berbahaya (malicious software) saat ini semakin mudah menyebar dan menginfeksi komputer. Tanpa kita sadari sistem dan aplikasi komputer kita telah dirusak bahkan informasi pribadi milik kita pun bisa diketahui dan disalahgunakan oleh orang lain hanya karena aktifitas browsing yang kita lakukan. Beberapa program yang termasuk sebagai kategori malware adalah : a. Virus b. Trojan Horse c. Worm d. AdWare e. Spy Ware f. Backdoor g. Exploit h. Keylogger

Pada gambar 1 adalah diagram pembagian kategori malware.

Gambar 1 Diagram Kategori Malware

Sumber : http://ilmukomputer.org/wp-content/uploads/2011/03/Malware.jpg

BAB II VIRUS KOMPUTER

2.1 Definisi Virus Komputer Istilah computer virus pertama kali digunakan oleh Fred Cohen dalam papernya yang berj udul Computer Virus Theor y and

Experiments pada t ahun 1984. Berikut kutipan definisi yang diberikan oleh Cred Cohen dalam paper tersebut : We define a computer virus as a program that can infect other programs by modifying them to include a possibly evolved copy of itself. With the infection property, a virus can spread throughout a computer system or network using the authorizations of every user using it to infect their programs. Every programs that gets infected may also act as a virus and thus the infection grows. Maka, menurut definisi yang diberikan di atas, dapat diketahui beberapa sifat dasar virus komputer yaitu mempunyai kemampuan untuk menjangkiti (menginfeksi) program lain dan menyebar. Pada dasarnya penggunaan isitlah virus dikarenakan adanya kesamaan dalam hal sifat antara virus komputer dengan virus yang kita kenal dalam dunia fisik. Di mana keduanya memiliki dua tujuan yaitu untuk bertahan hidup dan bereproduksi. Pada dasarnya virus komputer dapat diklasifikasi menjadi dua tipe. Tipe virus komputer yang pertama dibuat untuk tujuan penelitian dan studi, dan tidak dipublikasikan. Sedangkan tipe kedua yang merupakan kebalikan dari tipe pertama, merupakan virus komputer yang membahayakan sistem komputer pada umumnya, sering kali disebut dengan istil ah vi rus i n the wild.

2.2 Sejarah Virus Komputer Berikut adalah sekilas sejarah mengenai virus komputer :

Tahun 1981 Virus in the wild pertama ditemukan. Virus yang bernama Elk Cloner ini menyebar melalui floppy disk pada komputer Apple II.

Tahun 1983 Fred Cohen dalam paper-nya yang berjudul Computer Viruses Theory and Experiments memberikan definisi pertama mengenai virus komputer dan memaparkan eksperimen yang telah dilakukannya untuk membuktikan konsep dari sebuah virus komputer. Bersama dengan Len Adelman, ia menciptakan sebuah contoh virus pada komputer VAX 11/750 dengan sistem operasi Unix.

Tahun 1986 Sepasang kakak adik dari Pakistan, Basit dan Amjad, menciptakan sebuah boot sector virus pertama yang diberi nama Brain. Brain sering kali disebut sebagai virus komputer pertama di dunia. PC-based Trojan pertama diciptakan dalam bentuk program shareware yang diberi nama PC-Write. Dalam beberapa laporan disebutkan bahwa file virus pertama, Virdem, juga ditemukan pada tahun yang sama. Virdem diciptakan oleh Ralf Burger.

Tahun 1987 Virus-virus file infector seperti Leigh mulai bermunculan, kebanyakan menyerang file COM seperti COMMAND.COM. Pada tahun yang sama muncul virus penyerang file-file EXE pertama, Suriv 01 dan 02 serta Jerusalem. Mainframe IBM mengalami serangan worm IBM Christmas Worm dengan kecepatan replikasi setengah juta kopi per jam.

Tahun 1988 Virus pertama yang menyerang komputer Macintosh, MacMag dan Scores, muncul. Pada tahun yang sama didirikan CERT (Computer Emergency Response Team) oleh DARPA dengan tujuan awalnya untuk mengatasi serangan Morris Worm yang diciptakan oleh Robert Morris.

Tahun 1989 AIDS Trojan muncul sebagai trojan yang menggunakan samaran sebagai AIDS information program. Ketika dijalankan trojan ini akan mengenkripsi hard drive dan meminta pembayaran untuk kunci dekripsinya.

Tahun 1990 Virus Exchange Factory (VX) BBS yang merupakan forum diskusi online para pencipta virus didirikan di Bulgaria. Mark Ludwig menulis buku The Little Black Book of Computer Viruses yang berisi cara-cara untuk menciptakan berbagai jenis virus komputer.

Tahun 1991 Virus polymorphic pertama, Tequila, muncul di Swiss. Virus ini dapat mengubah dirinya untuk menghindari deteksi.

Tahun 1992 Kehadiran virus Michaelangelo yang menjadi ancaman bagi seluruh dunia, namun demikian kerusakan yang ditimbulkan pada akhirnya tidak terlalu hebat. Kemuculan beberapa tool yang dapat digunakan untuk menciptakan virus seperti Dark Avenger Mutation Engine (DAME) yang dapat

mengubah virus apa pun menjadi virus polymorphic, dan Virus Creation Lab (VCL) yang merupakan kit pertama yang dapat digunakan untuk menciptakan virus.

Tahun 1995 Para hacker dengan nama Internet Liberation Front melakukan banyak serangan pada hari Thanksgiving. Beberapa badan yang menjadi korban serangan ini adalah Griffith Air Force Base, Korean Atomic Research Institute, NASA, GE, IBM, dll. Virus macro pertama yang menyerang aplikasi Microsoft Word, Concept, dikembangkan.

Tahun 1996 Kemunculan virus Boza yang didesain khusus untuk menyerang file-file Windows 95, virus Laroux yang merupakan virus penyerang Microsoft Excel pertama, virus Staog yang merupakan virus Linux pertama.

Tahun 1998 Kemunculan virus Java pertama, Strange Brew. Back Orifice merupakan trojan pertama yang dapat digunakan sebagai tool untuk mengambil alih kendali komputer remote melalui Internet. Pada tahun ini, virus-virus macro lainnya bermunculan.

Tahun 1999 Kemunculan virus Melissa yang merupakan kombinasi antara virus macro yang menyerang aplikasi Microsoft Word dan worm yang menggunakan address book pada aplikasi Microsoft Outlook dan Oulook Express untuk mengirimkan dirinya sendiri melalui email. Virus Corner merupakan virus pertama menyerang file-file aplikasi MS Project. Virus Tristate merupakan virus macro yang bersifat multi-program menyerang aplikasi Microsoft Word, Excel, dan PowerPoint. Bubbleboy merupakan worm pertama yang dapat aktif hanya dengan membuka email melalui aplikasi Microsoft Outlook tanpa memerlukan attachment.

Tahun 2000 Serangan Distributed Denial of Service (DDoS) pertama membuat kerusakan pada situs-situs besar seperti Yahoo!, Amazon.com, dan lain-lain. Love Letter merupakan worm dengan kecepatan menyebar tertinggi pada saat itu yang menyebabkan kerusakan pada banyak sistem email di seluruh dunia. Liberty Crack yang merupakan worm pertama untuk peralatan PDA.

Tahun 2001 Gnuman (Mandragore) merupakan worm pertama yang menyerang

jaringan komunikasi peer to peer. Worm ini menyamarkan diri dalam bentuk file MP3 yang dapat di download. Kemunculan virus yang didesain untuk menyerang baik sistem operasi Windows maupun Linux, seperti Winux atau Lindose. Virus LogoLogic-A menyebar melalui aplikasi MIRC dan e-mail.

Tahun 2002 Virus LFM-926 merupakan virus pertama yang menyerang file-file aplikasi Shockwave Flash. Donut merupakan worm pertama yang menyerang .NET services. SQLSpider merupakan worm yang menyerang aplikasi yang menggunakan teknologi Microsoft SQL Server

2.3 Elemen Fungsional Virus Komputer Setiap virus komputer yang aktif, pada dasarnya harus terdiri atas dua buah bagian dasar atau subroutine, yaitu : a. Search routine Bagian ini berfungsi untuk menemukan file atau lokasi baru yang akan dijadikan target berikutnya untuk diserang. Bagian ini juga menentukan bagaimana cara virus bereproduksi, apakah secara cepat atau lambat, apakah dapat menyerang sebagian atau seluruh bagian dari target. Namun sebagaimana tradeoff ukuran dan fungsionalitas yang dimiliki setiap program, bila virus memiliki search routine yang rumit, maka akan dibutuhkan ruang yang lebih besar. Dengan demikian walaupun search routine yang baik dapat membantu virus untuk menyebar lebih cepat, namun ukuran virus akan bertambah besar karenanya. b. Copy routine bagian ini berfungsi untuk meng-copy dirinya sendiri pada area yang telah ditentukan oleh search routine. Ukuran dari bagian ini bergantung pada kompleksitas dari virus yang di-copy. Sebagai contoh, virus yang menyerang file berekstensi COM umumnya berukuran lebih kecil daripada virus yang menyerang file EXE, karena file EXE memiliki struktur yang lebih kompleks, sehingga virus lebih sukar untuk melekatkan diri pada file EXE. Selain kedua bagian di atas, sering kali sebuah virus digabungkan lagi dengan bagian yang berfungsi untuk menghindari deteksi, baik oleh pengguna komputer maupun software pendeteksi virus. Bagian ini disebut anti-detection routine, dan dapat merupakan bagian dari search routine, copy routine, atau bahkan terpisah dari keduanya. Sebagai contoh, bagian ini akan

mengaktifkan virus jika selama lima menit tidak ada tombol keyboard yang ditekan, dengan asumsi pengguna tidak sedang menggunakan komputer. Kadang kala virus masih digabungkan dengan bagian lain

seperti routine untuk merusak sistem yang diserang atau routine yang berfungsi hanya untuk lelucon.

2.4 Cara Kerja Virus Komputer 2.4.1 Cara Kerja Virus Komputer Secara Umum Seperti yang telah dijelaskan sebelumnya, dalam melakukan proses replikasi sebuah virus memodifikasi program lain sehingga virus tersebut menjadi bagian dari program tersebut. Sehingga setiap kali program tersebut dieksekusi, virus akan dieksekusi pula dan menyerang program lain. Pada gambar 1.1 adalah beberapa kategori virus komputer yang sering menyebar.

Gambar 1.1 Kategori Virus Komputer Yang Sering Menyebar

Sumber : http://2.bp.blogspot.com/T0dipz1X9Bw/T9zOfSNJ7oI/AAAAAAAAC9k/MccWhkQWj4A/s1600/dasarvirus.png

Pada gambar 2.1, terdapat 3 kategori virus komputer, yaitu : a. Overwriting viruses Virus ini menjadi bagian dari program host dengan menimpa (menggantikan) bagian awal dari program tersebut, sehingga program host tidak akan mengalami perubahan ukuran, namun mengalami kerusakan dan tidak dapat berfungsi sebagaimana mestinya.

b. Prepending viruses Virus bereplikasi dengan menjadi bagian awal dari program host sehingga ketika program host dieksekusi, sebelum program host virus akan terlebih dahulu dieksekusi. Keberadaan virus tidak menyebabkan kerusakan fungsional pada program host namun akan memperbesar ukuran program host. c. Appending viruses Virus bereplikasi dengan menjadi bagian akhir dari program host tanpa merubah isi dari program host. Namun pada bagian awal program yang telah terinfeksi diberikan mekanisme agar ketika program dieksekusi, virus akan dieksekusi terlebih dahulu.

2.4.2 Cara Kerja Berbagai Jenis Virus Komputer Berikut adalah penjelasan mengenai cara kerja berbagai jenis virus

komputer : a. File infector virus Memiliki kemampuan untuk melekatkan diri (attach) pada sebuah file, yang biasanya merupakan file executable. Pada umumnya virus jenis ini tidak menyerang file data. Namun dewasa ini, sebuah file data atau dokumen lainnya dapat mengandung kode executable seperti macro, yang dapat dieksploitasi oleh pencipta virus

komputer, worms atau trojan horse.

b. Boot sector virus Memodifikasi program yang berada di dalam boot sector pada DOSformatted disk. Pada umumnya, sebuah boot sector virus akan terlebih dahulu mengeksekusi dirinya sendiri sebelum proses bootup pada

PC, sehingga seluruh floppy disk yang digunakan pada PC tersebut akan terjangkiti pula.

c. Multipartite virus Virus ini memiliki fitur dari kedua jenis virus di atas (baik sebagai file infector mau pun sebagai boot/system sector virus). Ketika sebuah file yang terinfeksi oleh virus jenis ini dieksekusi, maka virus akan menjangkiti boot sector dari hard disk atau partition sector dari komputer tersebut, dan sebaliknya.

d. Macro virus Virus ini menjangkiti program macro dari sebuah file data atau dokumen (yang biasanya digunakan untuk global setting seperti template Microsoft Word), sehingga dokumen berikutnya yang diedit oleh program aplikasi tersebut akan terinfeksi pula oleh macro yang telah terinfeksi sebelumnya.

e. Stealth virus Virus ini bekerja secara residensial (menetap) di dalam memori dan menyembunyikan perubahan yang telah dilakukannya terhadap file yang dijangkiti. Hal ini dilakukan dengan mengambil alih fungsi sistem jika terjadi proses pembacaan. Jika program lain meminta informasi dari bagian sistem yang telah dijangkiti virus stealth, maka virus

akan memberikan informasi yang sesuai dengan keadaan sebelum terjangkiti virus, sehingga seolah-olah sistem berfungsi dalam keadaan baik tanpa gangguan dari virus komputer.

f. Polymorphic virus Virus yang cenderung melakukan perubahan di dalam kodenya setiap kali mengalami proses replikasi sehingga sulit untuk dideteksi oleh antivirus software.

g. Companion virus Virus yang bekerja dengan berpura-pura menggantikan file yang hendak diakses oleh pengguna. Sebagai contoh dalam sistem operasi DOS, file A.EXE dapat diinfeksi dengan membuat sebuah file dengan nama A.COM. DOS akan terlebih dahulu akan mencari file berekstensi COM sebelum file dengan ekstensi EXE. Setelah A.COM telah dieksekusi, kemudian A.EXE akan dieksekusi pula sehingga file tersebut terinfeksi pula. Cara lain adalah dengan menempatkan sebuah file dengan nama yang persis sama pada cabang lain dari file tree, sehingga bila file palsu ini ditempatkan secara tepat dan terjadi kesalahan dengan tidak menuliskan path yang lengkap dalam

menjalankan sebuah program, akan berakibat tereksekusinya file palsu tersebut.

h. Tunneling virus Virus ini mencoba untuk mengambil alih interrupt handlers pada DOS dan BIOS, kemudian meng-install dirinya sehingga berada di bawah

program- program lainnya. Dengan ini virus dapat

menghindari hadangan dari program anti virus sejenis monitors.

i. Fast Infectors Virus Virus jenis ini tidak hanya menyerang ketika program target dieksekusi, melainkan juga ketika diakses. Hal ini bertujuan untuk menumpangi perangkat anti virus sebagai media penyebaran ketika melakukan pengecekan terhadap file-file di dalam komputer.

j. Slow Infectors Virus Merupakan kebalikan dari fast infectors, di mana virus hanya akan menyebar ketika file-file target diciptakan atau dimodifikasi. Hal ini bertujuan untuk memperdaya anti virus sejenis integrity checkers dengan menumpangi proses yang sah untuk mengubah sebuah file.

k. Armoured virus Merupakan virus yang dibuat sedemikian rupa sehingga sulit untuk peneliti anti-virus dalam mempelajari cara mereka bekerja.

2.5 Cara Penyebaran Virus Komputer Berikut adalah gambaran umum cara penyebaran berbagasi jenis virus komputer yang umum pada saat ini : a. Boot Sector Virus Sebuah PC terinfeksi oleh boot sector virus jika PC tersebut di-boot atau di-re-boot dari floppy disk yang telah terinfeksi oleh virus jenis ini. Boot sector virus cenderung tidak menyebar melalui jaringan komputer, dan biasanya menyebar akibat ketidaksengajaan penggunaan floppy disk yang telah terinfeksi.

b. File virus Virus jenis ini menginfeksi file lain ketika program yang telah terinfeksi olehnya dieksekusi. Oleh sebab itu virus jenis ini dapat menyebar melalui jaringan komputer dengan sangat cepat.

c. Multiparte virus Virus jenis ini menginfeksi baik boot sector mau pun file jenis lain.

d. Macro virus Macro adalah perintah yang berisi perintah program otomatis. Saat ini, banyak aplikasi umum yang menggunakan macro. Jika seorang

pengguna mengakses sebuah dokumen yang mengandung macro yang telah terinfeksi oleh virus jenis ini dan secara tidak sengaja mengeksekusinya, maka virus ini dapat meng-copy dirinya ke dalam file startup dari aplikasi tersebut. Sehingga komputer tersebut menjadi terinfeksi dan sebuah copy dari macro virus tersebut akan tinggal di dalamnya. Dokumen lain di dalam komputer tersebut yang menggunakan aplikasi yang sama akan terinfeksi pula. Dan jika komputer tersebut berada di dalam sebuah jaringan, maka kemungkinan besar virus ini dapat menyebar dengan cepat ke komputer lain yang berada di dalam jaringan tempat komputer tersebut berada. Bahkan jika dokumen yang telah terinfeksi dikirimkan kepada orang lain, misalnya melalui floppy disk ataupun email, maka virus akan menjangkiti komputer penerima pula. Proses ini akan berakhir hanya apabila jika virus ini telah diketahui dan seluruh macro yang terinfeksi dibasmi. Macro virus merupakan salah satu jenis virus yang paling umum saat ini. Aplikasi seperti Microsoft Word dan Microsoft Excel tergolong sangat rentan terhadap virus jenis ini. Satu hal yang membuat penyebaran virus ini menjadi sangat sukses adalah karena aplikasi jenis ini kini lebih umum dipertukarkan pengguna dibandingkan

file-file program, dan juga merupakan dampak langsung maraknya penggunaan aplikasi email dan web dewasa ini.

e. Email worm Sebagian besar penyebab penyebaran virus saat ini adalah attacment email yang telah terinfeksi. Kemudahan pengguna untuk mendownload

attachment email tersebut dan mengeksekusinya. Hal ini dikarenakan sering kali isi email yang bersangkutan bersifat mengundang, misalnya saja untuk kasus worn ILoveYou yang menyebar dengan nama file LOVELETTER-FOR-YOU.TXT.vbs disertai dengan pesan yang berbunyi: kindly check the attached LOVELETTER coming from me. Selain melalui email, worm juga dapat menyebar melalui newsgroup posting.

2.6 Faktor - Faktor Yang Mempengaruhi Penyebaran Virus Komputer Saat ini, terdapat enam faktor teknologi berpengaruh pada keragaman dan tingkat kompleksitas dari virus komputer : a. Penggunaan Teknologi Komunikasi Broadband Penggunaan teknologi komunikasi broadband di rumah-rumah, seperti cable modem dan Digital Subscriber Line (DSL), pada masa yang akan datang, menjadikan hubungan yang bersifat konstan dan statis antara pengguna dan jaringan internet (memiliki network address yang cenderung tetap). Hal ini dapat memudahkan para hacker atau worms untuk menentukan target dan menyerang komputer para pengguna yang terhubung dengan jaringan internet. Setelah jika mereka telah menguasai komputer di rumahrumah tersebut, mereka dapat menyebar melalui VPN ke jaringan yang dimiliki oleh pemerintah maupun badan-badan hukum lainnya. Selain itu diperkirakan jika lebih banyak pengguna yang

mengadopsi teknologi komunikasi broadband ke rumah-rumah mereka,

maka berbagai aplikasi terkoneksi (connected applications) seperti personal web server, search agent, dan chat programs, akan mengalami

pertumbuhan yang sangat cepat. Di sisi lain, penggunaan berbagai macam macro dan pendukung program lainnya untuk meningkatkan kemampuan aplikasi perangkat lunak juga akan meningkat. Dan sudah tentu hal ini akan memudahkan para hacker dan pencipta virus untuk mengeksploitasi berbagai aplikasi tersebut.

b. Proses disassembly yang semakin sulit Mayoritas virus komputer di masa lampau ditulis dengan menggunakan bahasa aasembly yang merupakan bahasa pemrograman tingkat rendah dan cukup sulit untuk digunakan. Namun kini, mayoritas berbagai jenis virus komputer dan worms diciptakan dengan menggunakan bahasa

pemrograman tingkat tinggi dan tool-tool yang lebih maju. Hal ini menyebabkan virus-virus tersebut menjadi lebih sulit untuk dianalisa, mengingat optimisasi yang dilakukan berbagai jenis compiler cenderung bersifat mengaburkan logika dari kode yang ditulis dalam bahasa tingkat tinggi tersebut. Tingkat kompleksitas yang dimiliki oleh berbagai jenis virus dan worms ini dapat menyebabkan bertambahnya waktu yang diperlukan para peniliti virus untuk melakukan proses disassembly

(pengubahan kembali kode mesin menjadi kode assembly) dan analisa.

c. Homogenitas Infrastruktur Sistem Komputer Kesamaan (homogenitas) dalam hal penggunaan hardware, sistem operasi, aplikasi perangkat lunak, serta platform komunikasi dapat menjadi salah satu penyebab utama epidemi dari virus komputer, worms, dan trojan horses. Pada saat ini, lebih dari 90% komputer di dunia bekerja dengan sistem operasi Microsoft Windows disertai dengan perangkat keras (hardware) berbasis produk-produk Intel. Selain itu masih dengan

persentase yang cukup tinggi, berbagai pengguna komputer menggunakan sistem email standar seperti Microsoft Outlook. Bahkan dalam bidang word processing, aplikasi Microsoft Word seakan memonopoli dalam hal penggunaan oleh pengguna rumahan, bisnis, dan pemerintahan. Sehingga pada dasarnya dapat dikatakan bahwa hampir seluruh PC di dunia memiliki kemiripan, baik dalam hal perangkat lunak maupun keras. Sebagai perbandingan, dalam bidang pertanian, hal yanf serupa sering kali disebut sebagai sistem monokultur. Penggunaan sistem ini memiliki akibat yang sangat buruk, karena secara tidak langsung meningkatkan kerentanan seluruh hasil panen terhadap sejenis penyakit tertentu. Jika sebah tanaman terkena penyakit, maka penyakit tersebut dapat menyebar ke seluruh tanaman lainnya dengan sangat cepat. Begitu halnya dalam hal standarisasi teknologi komputer yang kini digunakan secara umum. Sehingga dapat dikatakan meskipun standarisasi perangkat lunak dan keras dalam teknologi komputer dapat membawa banyak keuntungan seperti penurunan technical support cost, replacement cost, dan software

development cost, namun telah mengubah kita menjadi komunitas yang hanya bersandar pada sebuah lingkungan komputerisasi, yang cukup rentan terhadap berbagai ancaman seperti virus komputer.

d. Kemudahan Pemrograman Kemudahan pemrograman dalam sistem operasi Windows telah

membuat proses pembuatan virus komputer menjadi suatu hal yang cukup mudah. Sebelumnya, tidak ada orang yang pernah memperkirakan bahwa bahkan aplikasi seperti Microsoft Word dan Excel dapat menjadi salah satu media penyebaran yang sangat sukses bagi virus komputer dan worms. Namun kini pengguna biasa pada umunya dapat dengan mudah menuliskan sepenggal program macro dan meng- attach-kannya ke dalam sebuah dokumen Word atau Excel. Program macro berbasis pemrograman

Visual Basic yang sangat mudah untuk dipelajari ini (berbasis bahasa pemrograman Basic pada umumnya) dapat melaksanakan berbagai fungsi seperti spell checking dan penjumlahan pada tabel-tabel. Lebih lanjut bahwa program- program macro tersebut dapat di-copy atau meng-copy dirinya sendiri ke dalam dokumen lain. Namun di lain sisi, keberadaan program macro ini sangat rentan terhadap virus komputer, sehingga hampir 80% insiden yang disebabkan virus komputer ini disebabkan oleh virus macro pada aplikasi Word dan Excel. Walaupun sebenarnya program macro ini tidak hanya memiliki

akses terhadap komponen dari aplikasi-aplikasi tersebut (bahkan beberapa komponen lain yang terdapat dalam komputer yang bersangkutan), namun penggabungan penggunaan program macro pada aplikasi Microsoft Office dan teknologi Component Object Model (COM) memiliki dampak yang cukup besar terhadap perkembangan virus dewasa ini. Sistem COM memungkinkan fungsionalitas dari sebuah aplikasi yang baru dibuat oleh seorang programmer, agar dapat digunakan pada aplikasi lain yang sedang dijalankan di dalam sistem. Kemudian, programmer lain dapat mendesain program lain yang dapat menggunakan fungsionalitas aplikasi sebelumnya di atas. Sebagai contoh seorang pengguna dapat membuat sebuah aplikasi yang menggunakan fungsionalitas dari aplikasi Microsoft Outlook untuk mengirimkan salinan dari sebuah laporan yang dibuatnya pada departemen lain di tempat kerjanya, tanpa perlu mengetahui bagaimana memprogram sebuah sistem email, protokol yang digunakan, dll. Dan tentunya hal ini sangat memudahkan seorang pengguna biasa untuk mengembangkan sebuah program macro dengan berbagai kemampuan yang luar biasa.

e. Konektivitas Yang Lengkap Jaringan komputer dewasa ini lebih terhubung satu sama lain dibandingkan waktu-waktu sebelumnya. Peningkatan jumlah hubungan dalam sistem komunikasi memungkinkan worms untuk dapat menyebar dengan sangat cepat dan bahkan menyerang target dengan jumlah yang sangat besar. Pada awalnya kecepatan penyebaran berbagai jenis virus komputer cenderung lebih lambat, karena lebih bergantung pada perilaku pengguna (kecepatan pertukaran data yang dilakukan pengguna baik melalui email, file server, floppy disk, dll). Perilaku pengguna ini dapat menyebabkan penyebaran virus komputer menjadi tidak praktis bahkan terbatas. Dari faktor-faktor yang telah dijelaskan pada bagian sebelumnya (homogenitas infrastruktur, kemudahan pemrograman, dll.), didukung dengan jumlah komputer yang menggunakan aplikasi email serta jaringan internet yang mencakup hampir seluruh belahan dunia, mekanisme pembuatan sebuah worm yang memiliki berbagai kemampuan menjadi sangat mudah. Walaupun email merupakan mekanisme ideal untuk penyebaran

worms, namun trend ini mulai berubah pada tahun-tahun belakangan dengan eksploitasi terhadap komunikasi peer-to-peer. Contoh dari jenis worm yang mengeksploitasi jaringan peer-to-peer sebagai mekanisme penyebaran adalah Explore.Zip.

f. Migrasi Teknologi Ke Perumahan Migrasi teknologi PC dari perusahaan ke rumah-rumah, dan

pengadopsian bentuk jaringan perumahan (home networking) pada tahuntahun memudahakn proses pengembangan virus komputer. Dengan

berkembangnya teknologi PC dewasa ini, para pencipta virus dapat mengeksploitasi teknologi PC yang mereka punyai di rumahnya untuk mengembangkan virus ciptaan mereka. Dari sebab itu, perusahaan yang

mepekerjakan para pencipta virus secara tidak disengaja, sangat rentan terhadap ancaman ini. Apalagi bila produk-produk perangkat lunak yang dipergunakan baik di perusahaan maupun di rumah sang pencipta virus memiliki banyak kesamaan. Hal ini yang menyebabkan pula mengapa aplikasi Lotus Notes memiliki ancaman yang lebih kecil dibandingkan dengan Microsoft Outlook yang memiliki kesamaan fungsi.Selain itu, salah satu produk yang dapat dijadikan sasaran empuk para pencipta virus adalah Linux. Hal ini dikarenakan Linux adalah produk yang seluruh komponennya ditawarkan secara gratis. Hampir seluruh source code, dokumentasi dan lain-lain, dapat dengan mudah didapatkan. Selain itu pengguna Linux dewasa inipun memiliki jumlah yang sangat besar, lain halnya dengan sistem operasi Solaris, yang meski memiliki dasar Unix platform seperti halnya Linux, namun hingga kini masih sedikit digunakan pada PC-PC perumahan pada umumnya.

BAB III WORM

3.1 Definisi Worm Cacing-cacing di Internet (Worms) adalah autonomous intrusion agents yang mampu melakukan penggandaan-diri dan menyebar dengan memanfaatkan kelemahan-kelemahan sekuriti (security flaws) pada services yang umum digunakan. Worm bukanlah sebuah fenomena baru, ditemukan pertama kali penyebarannya pada tahun 1988. Worms telah menjadi sebuah ancaman yang mematikan di Internet, walaupun sebagian besar kasus yang terjadi secara spesifik adalah pada sistim berbasis Windows. Beberapa jenis worms terbaru memanfaatkan electronic mail (e-mail) sebagai medium penyebarannya.

3.2 Metode Aktivasi dan Mekanisme Penyebaran Worm Perbedaan mendasar antara worm dan virus terletak pada bagaimana mereka membutuhkan intervensi user untuk melakukan penggandaandiri dan menyebar menginfeksi sistim komputer. Virus lebih lambat dalam melakukan penyebaran jika dibandingkan dengan worm. Namun virus mempunyai kemampuan lebih untuk menghindari deteksi program anti-virus yang berusaha mengidentifikasi dan mengontrol penyebaran virus pada sistim komputer. Namun pada praktek penyebarannya sebuah virus dapat menjadi sebuah worm. Untuk memudahkan pembahasan, kita membatasi terminologi antara worm dan virus dengan mempertimbangkan metode aktivasi yang dilakukan oleh sebuah worm proses yang dilakukan sebuah worm untuk mengeksekusi pada sebuah sistim komputer dan mekanisme penyebaran proses yang memungkinkan sebuah worm berpindah dari satu host ke host yang lain.

3.2.1 Metode aktivasi Metode aktivasi adalah cara bagaimana worm dapat aktif pada sebuah host berhubungan erat dengan kemampuan worm untuk menyebarkan diri, sejumlah worms dapat diatur untuk aktif secara langsung (activated nearly immediately), sementara yang lain dapat menunggu beberapa hari, minggu atau bahkan bulan untuk dapat teraktivasi dan kemudian menyebarkan-dirinya. Ada beberapa jenis metode aktivasi yang sering digunakan oleh worm, yaitu : a. Aktivasi dengan intervensi user Merupakan proses aktivasi paling lambat karena membutuhkan intervensi user untuk mengeksekusi worm tersebut, baik disadari maupun tidak oleh user tersebut. Namun karena sosialisasi yang gencar dilakukan mengenai bahaya worm dan virus, user dapat lebih cermat dengan tidak mengeksekusi program asing atau membuka attachment e-mail dari orang yang tidak dikenalnya, hal ini tentu akan memperlambat proses aktivasi worm. Tetapi pembuat worm tidak putus asa dengan kondisi tersebut sehingga mereka melakukan teknik social engineering seperti yang dilakukan oleh virus Melissa yang seolah-olah mengirimkan informasi penting dari orang yang telah dikenal oleh korban atau pesan-pesan personal lainnya yang dikirimkan oleh virus ILOVEYOU. Walaupun Melissa adalah sebuah virus macro pada program MicrosoftWord namun dengan intervensi user maka penyebaran Melissa di Internet sempat menjadi ancaman yang paling menakutkan.

b. Aktivasi terjadwal Metode aktivasi worm yang lebih cepat adalah dengan menggunakan proses terjadwal pada sistim (scheduled system proces). Ada banyak program yang berjalan pada lingkungan desktop maupun server untuk melakukan proses sesuai dengan jadwal yang diberikan. Metode ini tetap membutuhkan intervesi manusia namun kali ini intervensi attacker yang dibutuhkan. Sebagai contoh, program auto-update dari sistim yang melakukan proses updating ke server vendor. Dengan melakukan update ke remote host sebagai master, seorang attacker yang cerdik dapat memanfaatkan proses tersebut untuk menyebarkan worm dengan terlebih dahulu menguasai remote host atau gateway pada network maupun di Internet dan mengganti atau menginfeksi file yang dibutuhkan pada proses update dengan kode program worm.

c. Aktivasi mandiri Metode aktivasi mandiri adalah metode tercepat worm dalam menggandakandiri, menyebar, dan menginfeksi host korban. Metode ini paling populer digunakan oleh para penulis worm. Umumnya worm yang menggunakan metode ini memanfaatkan kelemahan sekuriti (security flaw) pada service yang umum digunakan. Sebagai contoh, worm CodeRed yang mengeksploitasi webserver IIS. Worm akan menyertakan dirinya pada service daemon yang sudah dikuasainya atau mengeksekusi perintah-perintah lain dengan privilege yang sama dengan yang digunakan oleh daemon tersebut. Proses eksekusi tersebut akan berlangsung ketika worm menemukan vulnerable service dan melakukan eksploitasi terhadap service tersebut.

3.2.2 Mekanisme Penyebaran Worm

Worm menginfeksi host korban dan memasukkan kode program sebagai bagian dari program worm ke dalamnya. Kode program tersebut dapat berupa machine code, atau routine untuk menjalankan program lain yang sudah ada pada host korban. Dalam proses penyebarannya, worm harus mencari korban baru dan menginfeksi korban dengan salinan dirinya. Proses pendistribusian tersebut dapat berlangsung sebagai proses distribusi satuan (dari satu host ke host yang lain) atau sebagai proses distribusi masal (dari satu host ke banyak host). Proses distribusi masal dipertimbangkan sebagai metode penyebaran tercepat dengan asumsi batasan yang digunakan adalah satuan waktu. Terdapat beberapa mekanisme penyebaran yang digunakan worm untuk menemukan calon korban yaitu dengan melakukan scanning, mencari korban berdasarkan target list yang sudah dipersiapkan terlebih dahulu oleh penulis worm atau berdasarkan list yang ditemukan pada sistim korban maupun di metaserver, serta melakukan monitoring secara pasif. Beberapa langkah yang sering digunakan oleh worm untuk menginfeksi komputer host, diantaranya adalah : a. Scanning Metode scanning melibatkan proses probing terhadap sejumlah alamat di Internet dan kemudian mengidentifikasi host yang vulnerable. Dua format sederhana dari metode scanning adalah sequential (mencoba mengidentifikasi sebuah blok alamat dari awal sampai akhir) dan random (secara acak). Penyebaran worm dengan metode scanning baik sequential maupun random, secara komparatif dapat dikatakan lambat, namun jika dikombinasikan dengan aktivasi secara otomatis, worm dapat menyebar lebih cepat lagi. Worm yang menggunakan metode scanning biasanya mengeksploitasi security holes yang sudah teridentifikasi sebelumnya sehingga secara relatif hanya akan menginfeksi sejumlah host saja. Metode scanning lainnya yang dinilai cukup efektif adalah dengan menggunakan bandwidth-limited routine

(seperti yang digunakan oleh CodeRed, yaitu dengan membatasi target dengan latensi koneksi dari sistim yang sudah terinfeksi dengan calon korban yang baru), mendefinisikan target yang hanya terdapat pada local address (seperti dalam sebuah LAN maupun WAN), dan permutasi pada proses pencarian. Scanning yang dilakukan worm tidaklah spesifik terhadap aplikasi sehingga attacker dapat

menambahkan sebuah exploit baru pada sebuah worm yang sudah dikenal. Sebagai contoh, worm Slapper mendapatkan muatan exploit baru dan menjadikannya sebuah worm baru yaitu Scalper.

b. Target lists Sebuah worm dapat memiliki target list yang sudah ditentukan sebelumnya oleh penulis worm tersebut. Dengan target list yang sudah ditentukan terlebih dahulu membuat sebuah worm lebih cepat dalam menyebar, namun tentu saja penyebaran tersebut akan sangat terbatas karena target berdasarkan sejumlah alamat di Internet yang sudah ditentukan. Selain itu, worm dapat menemukan list yang dibutuhkan pada host korban yang sudah dikuasainya, list ini umumnya digunakan oleh worm yang metode penyebarannya berdasarkan topologi network. Informasi yang didapat contohnya adalah IP address sistim tersebut dan worm mengembangkannya menjadi sebuah subnet pada LAN atau WAN.

c. Monitoring secara pasif Worm pasif tidak mencari korbannya, namun worm tersebut akan menunggu calon korban potensial dan kemudian menginfeksinya. Walaupun metode ini lebih lambat namun worm pasif tidak menghasilkan anomalous traffic patterns sehingga keberadaan mereka akan sulit diketahui. Sebagai contoh, "antiworm" CRClean tidak

membutuhkan aktivasi user, worm ini menunggu serangan worm CodeRed dan turunannya, kemudian melakukan respon dengan melakukan counter-attack. Jika proses counter-attack berhasil, CRClean akan menghapus CodeRed dan menginfeksi korban dengan menginstal dirinya pada mesin. Sehingga CRClean dapat menyebar tanpa melakukan proses scanning.

3.3 Jenis Worm Yang Banyak Menyebar Di Internet 3.3.1 Warhol Worm Diskusi mengenai warhol worm dimulai ketika jenis ini mulai menyerang internet pada tahun 2001. Jenis yang terkenal adalah virus Code Red yang sangat cepat penyerangannya. Jenis ini otomatis melakukan scanning secara acak pada korbannya dan menggunakan hanya pada sifat yang mudah kena serang dalam Internet Information Services (IIS). Berdasarkan analisis bahwa bagian web server yang terkena serangan menyebar secara berlipat ganda dalam setiap waktu. Pada awalnya, setiap server yang terkena serangan dapat kita temukan 1,8 bagian lain yang terkena serangan dalam setiap jam, rata-rata 0.7 Code Red menggandakan dirinya pada tanggal 19 July 2001. Suatu karakteristik yang membedakan Code Red adalah melakukan scanning secara acak. Berdasarkan data bahwa Code Red melakukan scanning pada bagian komputer yang mudah kena serangan sampai 500.000 waktu per jam. Code Red II menargetkan menyerang pada bagian yang sama dari IIS yang diserang Code Red. Sebuah strategi scanning yang dilakukannya, dimana Code Red II memilih secara acak alamat IP dari ruang alamat korban kelas B dengan kemungkinan 3/8, secara acak ruang alamat IP dari korban kelas A dengan kemungkinan , dan kemungkinan 1/8 dari ruang alamat IP secara keseluruhan. Berdasarkan strategi dari

penyerangannya, kita dapat menyimpulkan bahwa Code Red II hampir dipastikan juga melakukan tujuan yang bersifat percobaan. Jenis lain yang akan dijabarkan adalah Nimda worm. Nimda menggunakan lima cara yang berbeda dalam penyebarannya, yakni bagian IIS yang mudah kena serangan yaitu : email, bagian jaringan yang terbuka (dishare), halaman web yang terinfeksi menyebar kepada pengunjung yang melakukan browsing, dan bagian-bagian yang telah diserang oleh Code Red II dan virus. Contoh lain adalah Warhol worm dan Flash worm, pada tulisan ini tidak dijelaskan secara mendetail. Konsep kerja dari warhol worm dengn cara hit-list scanning, yaitu mengumpulkan bagian-bagian (listing) yang sebagai target dalam penyerangannya. Permutasi scanning adalah salah satu target perkembangbiakan yang lain untuk mengurangi overlap scanning diantara seluruh worm. Worm baru berkembang biak pada sebuah ruang alamat IP dengan cara permutasi dengan menggunakan sebuah block chiper 32-bit dan pre-selected key. Worm akan mengencrypt sebuah IP untuk mengambil permutasi yang bersesuaian, kemudian melakukan decrypt untuk mengambil sebuah IP. Selama terinfeksi, worm akan meningkatkan permutasi mulai dari IP hash secara acak.

3.3.2 Curious Yellow Bagian utama dari komunikasi dan koordinasi alamat adalah merancang sebuah Curious Yellow worm. Bagian ini akan menguraikan keuntungan-keuntungan dari koordinasi worm, kemudahan dalam mengontrol dan mekanisme yang up to date, serta mengungkapkan lebih sedikit dari lalu lintas worm. Berbagai kesulitan dalam koordinasi diantaranya adalah masalah skala koordinasi, penekanan harga koordinasi, kebutuhan untuk megambil kedalam laporan, dll.

Sebuah konsep hipotesis dari Curious Blue, worm menyapu bersih setelah infeksi sebuah Curous Yellow dengan menggunakan strategi penyebaran yang sama, atau dengan memanfaatkan bagian yang mudah kena serangan di dalam Curious Yellow sendiri dengan cara yang cepat. Untuk itu tingkat keamanan yang lebih baik dapat menghindari dari serangan-serangan worm tersebut.

BAB IV TROJAN

4.1 Sejarah Trojan Istilah Trojan Horse (Kuda Troya) berasal dari mitologi Yunani pada saat perang Troya. Dalam peperangan tersebut pasukan Yunani melawan pasukan kerajaan Troya. Pasukan Yunani telah mengepung kota Troya selama sepuluh tahun, namun karena pasukan kerajaan Troya cukup tangguh, maka pasukan Yunani sulit mengalahkannya. Akhirnya, pasukan Yunani membuat strategi yaitu dengan membuat sebuah kuda raksasa yang terbuat dari kayu. Kuda dari kayu ini cukup unik, di dalamnya berongga sehingga dapat diisi pasukan Yunani. Pasukan Yunani pura-pura mundur dan sambil memberikan hadiah kuda kayu raksasa tersebut. Dengan bantuan seorang spionase Yunani yang bernama Sinon, penduduk kota Troya berhasil diyakinkan untuk menerima kuda kayu raksasa itu dan memasukkannya ke dalam kota. Pada malam harinya, pasukan Yunani yang berada di dalam kuda kayu keluar, kemudian membuka gerbang dan kota Troya diserang. Dengan cara tersebut kota Troya dapat dikuasai oleh Yunani. Kisah epik di atas telah mengilhami para hacker untuk menciptakan

penyusup ke komputer orang lain yang disebut dengan Trojan Horse. Trojan pada saat ini berkaitan dengan masalah keamanan komputer yang cukup serius. Trojan dapat masuk ke komputer dengan melalui beberapa cara dan dari berbagai sumber yang kurang dapat dipercaya di Internet atau dari orang lain. Seperti halnya virus, jumlah trojan yang semakin lama semakin bertambah banyak, karena hacker atau pembuat program Trojan (programmer) yang selalu bereksperimen untuk mengembangkannya. Trojan tidak mempunyai masa aktif, maksudnya Trojan akan ada selamanya (bersarang) dan tidak pernah akan habis. Ada banyak hal yang dapat dikembangkan oleh

programmer agar program yang dibuat tidak terdeteksi oleh anti-virus atau trojan scanner. Programmer akan selalu bereksperimen untuk menciptakan Trojan yang unik dengan fungsi-fungsi baru dengan metode enkripsi yang lebih hebat.. Secara teknis, Trojan dapat muncul di mana saja dan kapan saja, di sistem operasi manapun dan berbagai platform. Kecepatan peredaran Trojan secepat virus. Secara umum download dari Trojan berasal dari program-program yang di

Internet, terutama freeware atau shareware yang

mencurigakan dan tidak berasal dari situs aslinya. Salah satu indikasi komputer yang terinfeksi oleh Trojan dapat digambarkan sebagai berikut. Pada saat komputer terhubung dengan Internet, misalnya saat mengobrol (chating) atau memeriksa e-mail, tetapi hardisk bekerja dengan sibuk (busy) dalam waktu yang lama. Selain itu pemakai juga tidak sedang menjalankan program aplikasi besar atau men-download sesuatu yang mengharuskan piringan hardisk berputar cukup lama. Kejadian tersebut termasuk kejadian aneh yang patut dicurigai adanya penyusupan.

4.2 Definisi Tojan Trojan di dalam sistem komputer adalah suatu program yang tidak diharapkan dan disisipkan tanpa sepengetahuan pemilik komputer. Program ini kemudian dapat diaktifkan dan dikendalikan dari jarak jauh, atau dengan menggunakan timer (pewaktu). Akibatnya, komputer yang disisipi Trojan Horse tersebut dapat dikendalikan dari jarak jauh. Definisi lain mengatakan bahwa Trojan adalah program apapun yang digunakan untuk melaksanakan suatu fungsi penting dan diharapkan oleh pemakai, namun kode dan fungsi di dalamnya tidak dikenal oleh pemakai. Selanjutnya program melaksanakan fungsi tak dikenal dan dikendalikan dari jarak jauh yang tidak dikehendaki oleh pemakai.

4.3 Fungsi Trojan Trojan bersembunyi di latar belakang dengan cara membuka port tertentu dan menunggu diaktifkan oleh penyerang. Komputer yang telah terinfeksi dapat dikendalikan oleh penyerang melalui versi client-nya. Cara kerja Trojan mirip dengan remote administration tool, dengan sifat dan fungsi yang sama. Program remote administration misalnya pcAnywhere, digunakan untuk keperluan yang benar dan sah (legitimate), sedangkan Trojam digunakan untuk keperluan yang negatif .

4.4 Jenis - Jenis Trojan Trojan seperti halnya virus, mempunyai jumlah yang cukup banyak dan berkembang seiring dengan berjalannya waktu. Terdapat kurang lebih 650 buah Trojan yang telah beredar saat ini. Pendapat lain mengatakan bahwa di tahun 2002 sudah terdapat sekitar 800 buah Trojan. Jumlah tersebut adalah jumlah yang diketahui atau terdeteksi keberadaannya, sedangkan yang tidak terdeteksi tidak diketahui jumlahnya. Dari berbagai macam Trojan yang telah beredar dan menginfeksi pemakai Internet, dapat diklasifikasikan berdasarkan ciri-cirinya. Menurut Dancho Danchev (2004), Trojan dapat diklasifikasikan menjadi delapan jenis, antara lain sebagai berikut : 4.4.1 Trojan Remote Access Trojan Remote Access termasuk Trojan paling populer saat ini. Banyak penyerang menggunakan Trojan ini dengan alasan fungsi yang banyak dan sangat mudah dalam penggunaannya. Prosesnya adalah menunggu seseorang menjalankan Trojan yang berfungsi sebagai server dan jika penyerang telah memiliki IP address korban, maka penyerang dapat mengendalikan secara penuh komputer korban. Contoh jenis Trojan ini adalah Back Orifice (BO), yang terdiri dari BOSERVE.EXE yang

dijalankan dikomputer korban dan BOGUI.EXE yang dijalankan oleh penyerang untuk mengakses komputer korban.

4.4.2 Trojan Pengirim Password Tujuan dari Trojan jenis ini adalah mengirimkan password yang berada di komputer korban atau di Internet ke suatu e-mail khusus yang telah disiapkan. Contoh password yang disadap misalnya untuk ICQ, IRC, FTP, HTTP atau aplikasi lain yang memerlukan seorang pemakai untuk masuk suatu login dan password. Kebanyakan Trojan ini menggunakan port 25 untuk mengirimkan e-mail. Jenis ini sangat berbahaya jika dalam komputer terdapat password yang sangat penting.

4.4.3 Trojan File Transfer Protocol (FTP) Trojan FTP adalah paling sederhana dan dianggap ketinggalan jaman. Satu-satunya fungsi yang dijalankan adalah membuka port 21 di komputer korban yang menyebabkan mempermudah seseorang memiliki FTP client untuk memasuki komputer korban tanpa password serta melakukan download atau upload file.

4.4.4 Keyloggers Keyloggers termasuk dalam jenis Trojan yang sederhana, dengan fungsi merekam atau melakukan pengetikan mencatat ketukan tombol saat korban

dan menyimpannya dalam logfile. Apabila

diantara ketukan tersebut adalah mengisi user name dan password, maka keduanya dapat diperoleh penyerang dengan membaca logfile. Trojan ini dapat dijalankan pada saat komputer online maupun offline. Trojan ini dapat mengetahui korban sedang online dan merekam segala sesuatunya. Pada saat offline proses perekaman dilakukan setelah

Windows dijalankan dan disimpan dalam hardisk korban dan menunggu saat online untuk melakukan transfer atau diambil oleh penyerang.

4.4.5 Trojan Penghancur Satu-satunya fungsi dari jenis ini adalah untuk menghancurkan dan menghapus file. Trojan penghancur termasuk jenis yang sederhana dan mudah digunakan, namun sangat berbahaya. Sekali terinfeksi dan tidak dapat melakukan penyelamatan maka sebagian atau bahkan semua file sistem akan hilang. Trojan ini secara otomatis menghapus semua file sistem pada komputer korban (sebagai contoh : *.dll, *.ini atau

*.exe). Trojan diaktifkan oleh penyerang atau bekerja seperti sebuah logic bomb dan mulai bekerja dengan waktu yang ditentukan oleh penyerang.

4.4.6 Trojan Denial of Service (DoS) Attack Trojan DoS Attack saat ini termasuk yang sangat populer. Trojan ini mempunyai kemampuan untuk menjalankan Distributed DoS (DDoS) jika mempunyai korban yang cukup. Gagasan utamanya adalah

bahwa jika penyerang mempunyai 200 korban pemakai ADSL yang telah terinfeksi, kemudian mulai menyerang korban secara serempak. Hasilnya adalah lalu lintas data yang sangat padat karena permintaan yang bertubi-tubi dan melebihi kapasitas band width korban. Hal tersebut menyebabkan akses Internet menjadi tertutup. Wintrinoo adalah suatu tool DDoS yang populer baru-baru ini, dan jika penyerang telah menginfeksi pemakai ADSL, maka beberapa situs utama Internet akan collaps. Variasi yang lain dari sebuah trojan DoS adalah trojan mailbomb, tujuan utamanya adalah untuk menginfeksi sebanyak mungkin komputer dan melakukan penyerangan secara serempak ke alamat e-mail

yang spesifik maupun alamat lain yang spesifik dengan target yang acak dan muatan/isi yang tidak dapat disaring.

4.4.7 Trojan Proxy/Wingate Bentuk dan corak yang menarik diterapkan oleh pembuat trojan untuk mengelabui korban dengan memanfaatkan suatu Proxy/Wingate server yang disediakan untuk seluruh dunia atau hanya untuk penyerang saja. Trojan Proxy/Wingate digunakan pada Telnet yang tanpa nama, ICQ, IRC, dan untuk mendaftarkan domain dengan nomor kartu kredit yang telah dicuri serta untuk aktivitas lain yang tidak sah. Trojan ini melengkapi penyerang dengan keadaan tanpa nama dan memberikan kesempatan untuk berbuat segalanya terhadap komputer korban dan jejak yang tidak dapat ditelusuri.

4.4.8 Software Detection Killers Beberapa Trojan telah dilengkapi dengan kemampuan

melumpuhkan

fungsi software pendeteksi, tetapi ada juga program

yang berdiri sendiri dengan fungsi yang sama. Contoh software pendeteksi yang dapat dilumpuhkan fungsinya adalah Zone Alarm, Norton Anti-Virus dan program anti-virus/firewall yang lain berfungsi melindungi komputer. Ketika software pendeteksi dilumpuhkan, penyerang akan mempunyai akses penuh ke komputer korban, melaksanakan beberapa aktivitas yang tidak sah, menggunakan komputer korban untuk menyerang komputer yang lain.

4.5 Sumber-sumber Trojan

Banyak pemakai komputer/Internet yang mempunyai sedikit pengetahuan tentang asal muasal sebuah Trojan, mereka beranggapan bahwa sumber Trojan hanya dari proses download dan menjalankan server.exe. Sebenarnya banyak jalan atau sumber Trojan untuk menginfeksi komputer seseorang yang berawal dari menggunakan Trojan untuk aktivitas yang tidak sah. Komputer korban dapat disusupi Trojan dengan berbagai macam cara atau berasal dari sumber-sumber tertentu. Sumber-sumber tersebut adalah sebagai berikut : 4.5.1 ICQ Messenger adalah media komunikasi yang populer, namun sebenarnya merupakan media yang sangat mungkin mengakibatkan seseorang terkena Trojan, terutama sewaktu seseorang mengirimkan file. Terdapat bug pada ICQ yang memungkinkan seseorang mengirimkan file *.exe ke orang lain, namun file tersebut akan seperti file *.bmp atau *.jpg atau jenis file lain sesuai keinginan. Hal ini sangat berbahaya, pengirim dapat mengirimkan file *.exe tetapi dengan bentuk *.jpg atau *.bmp dan mengatakan bahwa ini foto si pengirim. Penerima akan menerima file tersebut dan menjalankannya dengan rasa aman, karena file yang diterima berupa file gambar. Jika pengirim adalah seorang penyerang, maka dengan mudah menyusupkan file Trojan ke dalam komputer penerima (korban). Hal inilah yang menyebabkan orang ragu menggunakan ICQ.

4.5.2 IRC IRC adalah media yang digemari banyak orang adalah chatting menggunakan IRC. Seperti halnya ICQ, IRC media penyebaran Trojan yang efektif. Cara yang digunakan juga hampir sama dengan ICQ, yaitu dengan cara mengirimkan file-file tertentu yang menarik bagi pemakai IRC dan di dalam file tersebut telah disisipkan program Trojan. Tawaran

dari pengirim yang sekaligus sebagai penyerang misalnya dengan hal-hal yang bersifat pornografi, software untuk melakukan akses Internet secara bebas, hacking program Hotmail dan sebagainya. Target utama penyerang biasanya adalah pemakai baru Internet (newbies) maupun pemakai lama tetapi belum mengetahui tentang keamanan dalam berinternet.

4.5.3 Attachment Attachment dalam e-mail juga merupakan media penyebaran Trojan. Banyak penyerang menggunakan media attachment, karena media ini adalah salah satu media yang efektif untuk menyerang korban secara massal dengan cara mengirimkan e-mail. Attachment yang

dikirimkan berisi hal-hal yang menarik misalnya pornografi, layanan bebas berinternet, password dan sebagainya. Selain dengan cara

tersebut, penyerang juga menggunakan cara lain yaitu dengan menyadap e-mail address dan attachment dari seseorang yang sedang mengirimkan e-mail ke temannya. Setelah disadap oleh penyerang, attachment disisipi program Trojan dan kemudian dikirimkan ke target e-mail. Penerima e-mail akan merasakan bahwa e-mail yang dikirimkan berasal dari temannya dan tanpa ragu-ragu membuka attachment yang telah tersisipi Trojan.

4.5.4 Physical Access Akses fisik dalam komputer adalah hal yang sangat vital. Media akses fisik adalah dengan disket, Compact Disc (CD) maupun flash ROM. Dengan media tersebut, Trojan dapat menyusup ke dalam komputer dan dapat mengaktifkan dirinya ketika terkoneksi dengan Internet. Caranya adalah dengan menyebar melalui komputer yang telah terinfeksi, kemudian komputer digunakan untuk meng-copy file ke dalam media.

Selanjutnya file yang berada dalam media di-copykan lagi ke komputer lain, sehingga komputer tersebut juga terinfeksi. Cara lainnya adalah dengan memanfaatkan fasilitas autorun dalam fungsi pembacaan CD. Saat CD dimasukkan ke CDROM drive, secara otomatis akan membaca fasilitas autorun yang berada dalam Autorun.inf dalam CD, yaitu : [autorun] open=setup.exe icon=setup.exe Jika sebuah CD dengan fasilitas autorun dan telah disisipi program Trojan, maka sangat mudah bagi penyerang untuk menyusupkan Trojan ke dalam komputer orang lain.

4.5.5 Lubang Software Browser dan E-mail Dalam penggunaan software aplikasi untuk browser dan e-mail, seringkali pemakai tidak memperhatikan masalah update software. Pemakai enggan memperbaharui versi softwarenya padahal mereka seharusnya melakukan update setiap saat. Hal ini membawa keuntungan bagi penyerang karena pemakaian software versi lama lebih mudah

untuk disusupi. Software versi lama tentunya mempunyai banyak kelemahan atau bug jika dibandingkan dengan versi barunya. Misalnya kasus pemakaian software versi lama Internet Explorer yang digunakan untuk mengunjungi sebuah situs malicious, kemudian secara otomatis menginfeksi komputer tanpa melakukan proses menjalankan download atau

program apapun. Situs malicious tersebut akan

memeriksa secara otomatis software yang digunakan dan mencari kelemahannya. Hal yang sama juga terjadi dalam pemakaian software untuk memeriksa e-mail misal pemakaian Outlook Express versi lama. Oleh karena itu, update software atau menggunakan software versi terbaru perlu dilakukan. Hal ini dapat menekan atau meminimalkan

kemungkinan

terinfeksinya

komputer

yang

melewati

software

browser dan e-mail.

4.5.6 Netbios (File Sharing) File sharing dapat dilakukan dengan cara membuka port 139 . Jika port tersebut terbuka dan diketahui oleh penyerang, maka dapat digunakan sebagai jalan untuk menyusupkan Trojan. Caranya adalah dengan menginstall trojan.exe dan memodifikasi file sistem di komputer korban. Trojan yang telah disisipkan akan aktif setiap kali komputer

dihidupkan. Kadang-kadang penyerang juga melengkapi dengan DoS yang digunakan melumpuhkan kerja komputer. Komputer dipaksa untuk booting ulang, sehingga Trojan dapat mengaktifkan sendiri bersama proses booting.

4.6 Program Palsu dan Situs Yang Tidak Dapat Dipercaya dan Software Freeware Dari keterangan sebelumnya telah dijelaskan tentang sumber-sumber Trojan yang digunakan sebagai media penyebarannya. Beberapa cara dilakukan oleh penyerang untuk mengelabuhi korbannya saat menggunakan Internet. Tawaran yang dilakukan untuk mengelabuhi adalah dengan menggunakan program gadungan (fake program), situs yang tidak dapat dipercaya (untrusted sites) dan software yang didapatkan secara gratis (freeware). Pemakai

komputer perlu berhati-hati dengan tawaran tersebut. Sebagai contoh dari ketiga tawaran diatas adalah sebagai berikut : a. Pemanfaatan fasilitas freeware SimpleMail. Software ini sengaja

dibuat menarik namun didalamnya telah disisipi Trojan. Komputer korban

yang telah diproteksi dengan software proteksi tetapi tidak dapat mendeteksi keberadaan Trojan. Saat SimpleMail digunakan, maka fungsi Trojan yang tersembunyi akan membuka port 25 atau 110 untuk POP 3 dan menghubungkan komputer korban ke komputer penyerang. Selanjutnya penyerang dapat menyadap apapun yang diketik korban, misalnya nomor kartu kredit, user id, password dan sebagainya. Selanjutnya data-data

tersebut digunakan oleh penyerang untuk aktivitas yang tidak sah.

b. Pemanfaatan fasilitas free web space. Fasilitas ini memungkinkan seseorang untuk menempatkan situsnya secara gratis. Penyedia layanan ini misalnya Xoom, Tripod dan Geocities. Banyak pemakai yang memanfaatkan layanan ini, termasuk para hacker yang memanfaatkan fasilitas ini sebagai media penyebaran Trojan. Melakukan download menjadi berbahaya jika situs di layanan ini telah terinfeksi oleh Trojan.

c. Downlod

untuk

mendapatkan

software

freeware.

Dalam

mendapatkan software yang gratis perlu dipertimbangkan, karena dengan media ini Trojan dapat disusupkan. Ada pepatah bahwa gratis tidak selalu yang terbaik. Jika memang diperlukan, maka perlu dipastikan bahwa file di-download dari sumber aslinya.

4.7 Port Yang Digunakan Trojan Trojan sesuai dengan fungsinya akan membuka pintu belakang berupa port dengan nomor tertentu. Adanya port yang tidak lazim terbuka

mengindikasikan adanya kegiatan aktif Trojan.

4.8 Target Penyerangan Trojan

Sebagian pemakai Internet beranggapan bahwa Trojan hanya bersifat merusak saja. Anggapan tersebut tidak benar, karena Trojan dapat digunakan alat untuk mata-mata dan melakukan penyadapan pada beberapa komputer korban. Data yang disadap berupa data pribadi maupun informasi yang sensitif (misalnya spionase dalam industri). Contoh hal-hal yang diminati penyerang adalah sebagai berikut : a. Informasi Kartu Kredit. b. Data akuntansi (e-mail passwords, dial-up passwords dan webservices passwords). c. E-mail Addresses. d. Work Projects (dokumen pekerjaan). e. Nama anak-anak dengan foto dan umurnya. f. Dokumen sekolah. Jika sebuah komputer terinfeksi oleh Trojan dan telah dikendalikan oleh penyerangnya, maka beberapa kemungkinan dapat terjadi. Sebagai contoh, sebuah Trojan dengan nama NetBus dapat melakukan banyak hal ke komputer yang telah dikendalikan antara lain : a. Menghapus file, b. Mengirim dan mengambil file, c. Menjalankan program-program aplikasi, d. Menampilkan gambar, e. Mengintip program-program yang sedang dijalankan, f. Menutup program-program yang dijalankan, g. Melihat apa saja yang sedang diketik, h. Membuka dan menutup CD-ROM drive, i. Mengirim pesan dan mengajak untuk bicara (chat),

j. Mematikan komputer. Contoh di atas adalah hanya sebagian yang dapat dikerjakan oleh sebuah Trojan. Trojan lain kemungkinan mempunyai fungsi yang berbeda bahkan mungkin lebih berbahaya dan lebih susah dideteksi. Dalam aplikasi belanja online, Trojan adalah salah satu ancaman bagi penjual dan pembeli. Trojan dapat digunakan untuk mencuri nomor kartu kredit dengan cara menangkap ketikan saat dilakukan proses transaksi online. Cara lain adalah memanfaatkan lubang kemanan pada operating system di sisi penjual atau pemberi jasa (server) dimanfaatkan untuk menyadap data-data pelanggannya (client). Jika lubang ini dieksploitasi, kemungkinan data seluruh pelanggan dari server tersebut jatuh ke tangan penyadap. Pada gambar 4.1 adalah contoh kasus penyadapan yang dilakukan trojan pada transaksi online.

Gambar 4.1 Contoh Kasus Penyadapan Trojan Pada Transaksi Online

Sumber : http://2.bp.blogspot.com/_Xw3ki4YUofw/SzJWZp0z06I/AAAAAAAAAGQ/u-ephoJtFaE/s320/Trojan.JPG

4.9 Cara Kerja Trojan Trojan masuk melalui dua bagian, yaitu bagian client dan server. Ketika korban (tanpa diketahui) menjalankan komputer, kemudian penyerang akan

menggunakan client untuk koneksi dengan server dan mulai menggunakan trojan. Protokol TCP/IP adalah jenis protokol yang umum digunakan untuk komunikasi. Trojan dapat bekerja dengan baik dengan jenis protokol ini, tetapi beberapa trojan juga dapat menggunakan protokol UDP dengan baik. Ketika server mulai dijalankan (pada komputer korban), Trojan umumnya mencoba untuk menyembunyikan diri di suatu tempat dalam sistem komputer tersebut, kemudian mulai mendengarkan di beberapa port untuk melakukan koneksi, memodifikasi registry dan atau menggunakan metode lain yaitu metode autostarting. Hal yang penting untuk diketahui oleh penyerang adalah mengetahui IP address korban untuk menghubungkan komputernya ke komputer korban. Banyak varian Trojan mempunyai kemampuan mengirimkan IP address korban ke penyerangnya, misalnya media ICQ maupun IRC. Hal ini digunakan bagi korban yang mempunyai IP address dinamis, yang berarti setiap kali menghubungkan ke Internet didapatkan IP address yang berbeda. Untuk pemakai yang memanfaatkan Asymmetric Digital Suscriber Line

(ADSL) berarti selalu memakai IP address yang tetap (statis) sehingga mudah diketahui penyerang. Sebagian besar Trojan menggunakan metode auto-starting, yaitu Trojan akan secara otomatis aktif saat komputer dihidupkan. Walaupun komputer dimatikan dan kemudian dihidupkan lagi, Trojan mampu bekerja dan mudah untuk dikoneksikan dengan komputer

kembali dan penyerang mengakses kembali ke komputer korban. Metode baru auto-starting dan trik lain telah ditemukan sejak semula. Jenis Trojan ini bekerja mulai dari koneksi trojan ke dalam beberapa file

executable yang sering digunakan misalnya explorer.exe dan kemudian memodifikasi file sistem atau Windows Registry. File sistem ditempatkan di direktori Windows. Dari direktori ini penyerang melaksanakan penyerangan atau penyalahgunaan. Penyalahgunaan penyerang melewati file sistem adalah sebagai berikut :

a. Autostart Folder Autostart folder berada di lokasi C:\Windows\Start

Menu\Programs\Startup dan sesuai dengan namanya akan bekerja secara otomatis bagia file sistem yang ditempatkan di folder tersebut. b. Win.Ini. File sistem Windows menggunakan load=trojan.exe dan

run=trojan.exe untuk menjalankan Trojan. c. System.Ini. Menggunakan shell=explorer.exe trojan.exe. Hal ini diakibatkan oleh eksekusi setiap file setelah menjalankan explorer.exe. d. Wininit.Ini. Sebagian besar setup program menggunakan file ini. Sekali dijalankan maka menjadi auto-delete, akibatnya Trojan sangat cekatan atau cepat untuk bekerja kembali. e. Winstart.Bat. Bertindak seperti batch file yang normal, ketika ditambahkan@ trojan.exe mampu menyembunyikan korbannya. f. Autoexec.Bat. Autoexec.Bat adalah file auto-starting Disk Operating System (DOS). File tersebut digunakan sebagai metode auto-starting, yaitu dengan memasang c:\trojan.exe. g. Config.Sys. Config.Sys juga dapat digunakan sebagai suatu metode auto-starting untuk Trojan.

h. Explorer Startup. Explorer Startup adalah suatu metode auto-starting untuk Windows95, 98, ME dan jika c:\explorer.exe ada, hal itu akan dimulai maka akan menggantikan yang umum, yaitu c:\Windows\Explorer.exe.

4.9 Langkah Pendeteksian Trojan Kadang-kadang pemakai komputer menganggap normal perilaku komputer yang menjalankan program tertentu dan memakai hardisk dengan kapasitas yang besar. Bahkan tidak curiga karena telah terpasang software anti-virus yang dianggap telah mampu menangkal keberadaan Trojan. Banyak yang mengira bahwa dengan anti- virus yang selalu di update dari situs pembuatnya, maka pemakai telah aman dari masalah di Internet dan tidak akan terinfeksi trojan atau komputernya diakses orang lain. Anggapan tersebut tidak benar, karena banyak jalan dilakukan oleh penyerang untuk menyusup ke komputer korban. Tanda-tanda terserangnya komputer oleh Trojan dapat diketahui dengan melihat perilaku tampilan komputer dan melakukan deteksi dengan anti-virus maupun trojan scanner. Tanda-tanda yang diperlihatkan oleh tampilan komputer dan patut dicurigai adalah sebagai berikut : a. Saat mengunjungi suatu situs, terdapat beberapa pop-up yang muncul dan telah mengunjungi salah satu pop-up. Tetapi ketika akan mengakhiri kunjungan (tidak sepenuhnya dikunjungi), tiba-tiba browser mengarahkan dan membuka secara otomatis beberapa halaman tidak dikenal. b. Tampilan Kotak Pesan yang tak dikenal dan tampak di layar monitor. c . Pesan berisi beberapa pertanyaan yang bersifat pribadi. d. Tampilan Windows mengalami perubahan dengan sendirinya, misalnya teks screensaver yang baru, tanggal/waktu, perubahan volume bunyi

dengan sendirinya, pointer mouse bergerak sendirinya, CD-ROM drive membuka dan menutup sendiri. e. Outlook Express menggunakan waktu yang cukup lama saat menutup (close) atau terlihat hang (menggantung) ketika melihat preview-nya, f. Adanya file yang rusak atau hilang, g. Program yang tidak diketahui aktif terlihat di task list, h. Tanda atau informasi dari firewall tentang outbound komunikasi dari sumber yang tidak diketahui. Sebagian tanda-tanda diatas biasanya dilakukan oleh penyerang tingkat pemula dengan ciri memberikan tanda atau pesan di layar monitor. Hal ini berbeda dengan penyerang tingkat lanjut, ia akan berusaha untuk menutupi dirinya dan menghilangkan jejaknya saat melakukan penyusupan.

Penyerang tingkat lanjut melakukan penyadapan dan menggunakan komputer yang infeksi untuk beberapa alasan yang spesifik, serta tidak menggunakan cara-cara seperti penyerang tingkat pemula. Sehingga aktivitasnya diam-diam dan tidak mencurigakan.