Tugas Keamanan

Jaringan
Virus Komputer

Oleh.
Gede Ari Adnyna (10)
XII TKJ3

Nimda
Satu lagi worm yang bisa mengelabui scanning heuristic yang dibangga-banggakan oleh
banyak vendor antivirus dan langsung menduduki peringkat pertama virus dengan penyebaran
tertinggi pada hari pertama munculnya, menggeser Sircam dan Magistr yang berpekan-pekan
bercokol di tangga teratas dunia pervirusan.
Pembuat Nimda yang menggunakan C++ belajar dari keberhasilan virus-virus top dan
mengadopsi kemampuan maupun cara kerja virus yang telah pernah ada sebelumnya seperti :
1. Mempunyai kemampuan penyebaran yang luar biasa di dalam network (walaupun dengan
metode yang berbeda) seperti worm Sircam dan Funlove.
2. Memanfaatkan server internet untuk menyebarkan dirinya seperti BlueCode.
3. Menggunakan celah keamananan Internet Explorer dan Outlook Express yang baru
ditemukan bulan Maret 2001 sehingga worm ini akan aktif sekalipun anda tidak mengklik
Attachment seperti Kak.Worm.

Ancaman Nimda Terhadap Komputer

Nimda membahayakan lingkungan Internet Anda dengan mengarahkan pencarian web
Anda ke domain berbahaya lainnya yang membawa virus lebih mengancam dan menipu Anda
untuk men-download perangkat lunak bebas, video, games dan file, dll
Ini bisa menyerang komputer ditargetkan melalui berbagai cara.
Nimda diam-diam dapat menghapus data penting yang tersimpan pada hard drive.
Nimda mencurigakan mengklaim OS Anda tidak aman.
Komputer dan Internet yang lebih lambat dari sebelumnya.

Kerusakan kerusakan yang di timbulkan Nimda

-

Nimda diam-diam dapat menghapus data penting yang tersimpan pada hard drive.
Komputer dan Internet yang lebih lambat dari sebelumnya.
Merusak sytem operasi pada computer.
Program Aplikasi banyak yang error.

Cara Kerja Nimda secara lebih terperinci adalah sebagai berikut :

1. Menggunakan Email berformat HTML.
Nimda menyebar melalui email berformat HTML dengan memanfaatkan celah keamanan
IE dan OE 5.01 dan 5.5 Service Pack 1. Celah keamanan yang terjadi sebenarnya ada
dalam Internet Explorer, tetapi dapat disalahgunakan melalui OE. Jika email berisi Nimda
dibaca atau secara otomatis terbuka pada saat anda mengaktifkan Outlook Express, hal
ini sudah cukup bagi Nimda untuk menginfeksi komputer korbannya. Adapun pesan yang
mengandung Nimda bentuknya adalah sebagai berikut :
Subject
: kosong atau nama acak
Body
: kosong
Attachment : README.EXE
Subject kalau tidak kosong, akan diambil secara acak dari nama file di drive C pada
komputer yang terinfeksi, biasanya "My Documents".
2. Penyebaran melalui jaringan.
Jika komputer yang terinfeksi Nimda terhubung ke dalam jaringan, secara otomatis
Nimda akan mencari direktori dari komputer lain dalam jaringan yang memberikan hak
tulis (full access) dan mengkopikan dirinya ke dalam direktori-direktori yang ditemukan.
File yang mengandung Nimda bentuknya adalah file .EML dan .NWS.

3. Penyebaran melalui website.

Salah satu kemampuan Nimda yang cukup mengagumkan dan kreatif adalah
kemampuannya menginfeksi korban memalui website. Pada server yang telah terinfeksi,
file-file seperti *index*, .HTM, .ASP, *default*, *main* akan ditambah dengan beberap
perintah baru (dalam Javascript) yang secara otomatis akan dijalankan jika file pada
website tersebut diakses. Javascript tersebut akan membuka file README.EML (yang
merupakan worm Nimda) dan sudah dipersiapkan terlebih dahulu.

4. Penyebaran ke IIS Server

Jika Nimda menemukan Microsoft IIS Server 4.0 dan 5.0, infeksi akan dilakukan dengan
dua cara:
Pertama, Nimda akan mencek apakah server tersebut terinfeksi CodeRed2. Jika server
terinfeksi CodeRed2, ia akan memanfaatkan backdoor (pintu belakang) yang diciptakan
oleh trojan yang di drop oleh CodeRed2 untuk menginfeksi komputer.

Kedua, jika tidak menemukan backdoor, Nimda akan menggunakan perintah TFTP
(Trivial File Transfer Protocol) untuk mengupload file dengan naman ADMIN.DLL ke
server IIS yang menjadi korbannya. Cara kerja seperti ini adalah sama seperti cara kerja
BlueCode.

Solusi terbaik untuk mengatasi nimda

1.
2.
3.
4.
5.

matikan semua koneksi pada komputer anda modem,lan &dll

bukalah startup anda menggunakan msconfig lalu matikan virus nimdanya
restart komputer anda lalu masuklah kebagian safe mode
setelah masuk kedalam safe mode disinilah anda akan membrantas si virus bukalah cmd
lalu ketiklah " del /s /f /q 'partisi anda':\*.eml " tanpa kutip #partisi anda itu maksudnya
diganti dengan nama partisi anda misalkan C,D,E dan seterusnya contoh bisa liat di
gambar d bawah ini
cara ketik di cmdnya
6. setelah anda menghapus semua .eml yg terdapat di komputer anda sekarang saatny anda
membersihkan registry anda dari virus ini yaitu dengan cara ketik regedit di run.
7. setelah kebuka registrynya searchlah dengan kata " runouce " setelah itu hapuslah.
8. .eml dan registry sudah di hapus skrng hapuslah file induk virus nimda ini searchlah
dalam partisi system anda dengan kata runouce lalu hapuslah yang file yang bernama
runouce hati-hati jangan menghapus file systemnya jika anda hanya memakai keyword
runo saja akan keluar file system juga jadi hati-hatilah

9. Setelah itu installah anti virus yang bagus yang kira-kira dapat menghapus virus ini
karena cara di atas masih belum sempurna virus nimda ini menyerang .exe yang ada jadi
anda memerlukan antivirus yang dapat membetulkan program anda dari virus nimda ini.

10. Setelah anda instal antivirus scan lah semua partisi anda dengan antivirus tersebut untuk
menghilangkan virus nimda ini. setelah full scan anda kelar restartlah komputer anda dan
jalankan seperti biasa.
Sedikit tambahan bagi anda yang terinfeksi Nimda dan ingin membersihkan, anda dapat
mendownload Nimda removal tools dari :
Kaspersky : www.vaksin.com klik Fix Nimda
Mc Afee : www.nai.com
Trend Micro : www.antivirus.com
Sophos : www.sophos.com

Cara Pencegahan
1. Infeksi dari Email :
Pengguna IE dan OE 5.01 dan 5.5 SP 1 kami sarankan mendownload dan menginstall
security patch
dihttp://www.microsoft.com/windows/IE/downloads/critical/q290108/download.asp atau
kalau anda ragu kami sarankan untuk langsung mengupgrade IE anda ke Service Pack 2
(gratis).
Update definisi virus dari program antivirus anda agar dapat mengenali Nimda.
2. Infeksi dari jaringan :
Batasi pengguna jaringan yang dapat mengakses direktori dalam harddisk anda.
Hilangkan sharing yang tidak perlu.
Hindari pemberian sharing secara full, amankan dengan meminta password atau berikan
hak read only (dapat membaca tapi tidak dapat menulis).
3. Penyebaran melalui website :
Install security patch seperti yang diutarakan dalam point 1.
Update antivirus anda sehingga jika Nimda dijalankan, anda akan mendapatkan
peringatan.
Tingkatkan sekuriti scripting pada browser anda. Kami tidak menyarankan anda untuk
menonaktifkan scripting pada browser karena anda akan kehilangan kemudahankemudahan yang diberikan oleh scripting seperti permintaan password, animasi atau
berita virus otomatis seperti yang dapat anda lihat dari www.vaksin.com
4. Penyebaran ke IIS :
Install security patch "Web Server Security Traversal" di
http://www.microsoft.com/technet/treeview/default.asp?
url=/technet/security/bulletin/ms01-044.asp

5. Install security patch MS01-033 atau MS01-044 untuk menutupi celah keamanan yang
dimanfaatkan oleh CodeRed2.
Bersihkan server anda dari trojan CoreRed2 dengan menggunakan program antivirus atau
lihat keterangan mengenai bagaimana menangani trojan CodeRed2 di www.vaksin.com

Virut
Virus ini tergolong sangat berbahaya dan paling ditakuti oleh vendor antivirus

Cara Kerja Virut

Langkah pertamanya adalah menginfeksi proses winlogon.exe. Mengapa? Karena
firewall tidak akan mengenali virus ini. Kemudian, virus ini akan menginfeksi file file
di Harddisk lokal ataupun jaringan. Virus ini tidak tergantung pada penggunaan file file
di harddisk.
File yang terinfeksi mempunyai ukuran file lebih besar sekitar 9kb, dan tidak akan
menyimpan timestamp (waktu dibuat, waktu diubah) aslinya. Timestamp akan berubah ke
waktu saat virus menginfeksinya.
Virus ini aktif ketika komputer dinyalakan dengan cara menyertakan nama file di folder
sistem yang telah terinfeksi kedalam entri dari registry:
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Virus ini tidak menggunakan teknik rootkit atau stealth, virus ini juga membuat file yang
tidak mempunyai fungsi yang juga mengandung virus.

Ancaman Virut Terhadap Komputer

1. Mendisable Windows File Protection yang tujuannya sangat mulia (untuk Virut) karena
ia ingin menginfeksi seluruh file sistem OS Windows.
2. Menyebarkan dirinya melalui halaman web. HTML, ASP, PHP.
3. Menginfeksi Host file Windows, sehingga ia memiliki kontrol penuh terhadap koneksi
internet komputer yang di infeksinya.
4. Melakukan kontak remote ke IRC server.
5. Menjadikan komputer korbannya server zombie untuk mendownload update virus dan
perintah lain seperti mendownload master email spam dan menyebarkan ke alamatalamat yang telah ditentukan.
6. Mendownload virus dan spyware lain untuk di infeksikan ke komputer.

7. Menjadikan komputer korbannya sebagai server spam dengan memanfaatkan IP publik

yang dimiliki router komputer sehingga mengakibatkan IP tersebut di ban dan di
blacklist.
8. Mematikan Firewall.
9. Disable share folder supaya sulit dibersihkan secara remote.
10. Inject network driver sehingga jika hostnya dibersihkan akan menyebabkan kelumpuhan
akses komputer ke jaringan.

Kerusakan kerusakan yang di timbulkan Virut

-

Trojan Virus:Win32/Virut.EPO membuka backdoor untuk hacker cyber untuk remote

control komputer dikompromikan.
Trojan Virus:Win32/Virut.EPO bisa membasmi dan bersembunyi jauh ke dalam sistem
untuk memotong berbagai program antivirus.
Trojan Virus:Win32/Virut.EPO mampu menyembunyikan dirinya di latar belakang dan
terus berjalan untuk mengkonsumsi sumber daya PC Anda
Trojan Virus:Win32/Virut.EPO dibuat dengan teknologi rootkit.
Dapat menginstal jenis lain dari spyware / adware

Solusi terbaik untuk mengatasi Virut

Cara mengatasi :
-

Matikan System Restore (XP/ME) (pada saat digunakan)

Hapus dan matikan proses virus yang aktif. Gunakan Norman Malware Cleaner untuk
mematikan sekaligus menghapus virus. Anda dapat mendownload pada link berikut :
http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe
Atau gunakan aplikasi Win32/Virut Remover 1.2.0.715

Cara mencegah Virut

1. Memilih situs yang benar-benar dapat dipercaya untuk melakukan download.Jangan
pernah melakukan download secara sembarangan yang berasal dari seorang atau situs
yang tidak dapat dipercaya.
2. Memastikan bahwa file yang di kirimkan belum pernah dibuka oleh orang lain.
3. mewaspadai file-file yang extensionnya disembunyikan.
4. memastikan bahwa didalam komputer tidak ada program yang berjalan secara otomatis
atau mode file preview.

5. Jangan selalu merasa aman bila di komputer telah terpasang software antivirus.
6. Pastikan Firewall selalu aktif dan anti virus rutin di update.