Tugas

Keamanan jaringan
(virus)
Nama
Kelas

1. SASSER

I Made wawan kurniawan ( 18 )

:

XIi TKJ1

Alias:
WORM_SASSER.B [Trend], W32/Sasser.worm.b [McAfee], Worm.Win32.Sasser.b
[Kaspersky, W32/Sasser-B [Sophos], Win32.Sasser.B [Computer Assoc, Sasser.B [F-Secure],
W32/Sasser.B.worm [Panda], Win32/Sasser.B.worm [RAV], W32/Sasser.B [F-Prot]
Sasser(W32/Sasser) Merupakan Virus Komputer yang sangat berbahaya pada masanya yakni sekitar
tahun 2003, Sasser awalnya dibuat untuk Melawan virus Mydoom, namun akhirnya sang Pembuat
Virus Sven Jaschan tertangkap. walau demikian Virus ini juga masih dapat ditemukan.
Sasser tidak menyebar melalui email dan tidak memerlukan campur tangan manusia untuk
menginfeksi sebuah komputer. Virus ini menginfeksi komputer dengan kerentanan yang hadir di
kedua mesin Windows 2000 dan Windows XP yang dikenal sebagai mengeksploitasi (Remote
Procedure Call) kerentanan yang digunakan oleh virus Blaster.
Sasser berhasil menginfeksi dan mematikan ribuan jaringan komputer hanya dalam hitungan hari.
Setelah menginfeksi komputer, virus ini diprogram untuk mengakses internet untuk mencari mesin
rentan lainnya sehingga dapat menginfeksi komputer lainnya.

KERUSAKAN YANG DITIMBULKAN

Sasser menyebabkan banyak komputer untuk memperlambat atau merusak, menyebabkan beberapa
kerusakan tinggi. Virus ini mampu melumpuhkan system Windows yang mampu dibuatnya sampai
tidak bisa melakukan proses ShutDown tanpa pada sumber dayanya atau aliran listriknya di cabut,
virus ini tidak menyebar melalui email tetapi bila computer yang terserang virus ini ada koneksi
dengan komputer yang lain maka virus ini akan berjalan secara otomatis dan komputer yang
pertamanya tidak terserang virus ini, akan menjadi ikut terserang. Sasser menyebar dengan
memanfaatkan sistem melalui port jaringan yang rentan.

SOLUSI
Setelah Sasser mengganas, banyak vendor yang mengeluarkan tools untuk mendeteksi dan membasmi
Sasser, Symantec, F-Secure, CA, BitDefender, Panda Software, Sophos dan tidak ketinggalan
Microsoft mengeluarkan tools untuk membasmi Sasser, tools dari Microsoft direkomendasikan karena
cara kerjanya yang sangat singkat dan efektif dan membutuhkan waktu yang sangat singkat untuk
membasmi Sasser (gambar 1).

Gambar 1, Sasser Worm Removal Tools Microsoft

MENCEGAH VIRUS
Pencegahan virus masuk ke sistem network dalam waktu kedepannya dilakukan dengan cara
Memfungsikan Firewall

Menginstal required update dari Microsoft Security Bulletin MS04 011

Secara otomatis mengecek dan membuang sasser

2. NETSKY

Alias:
1. Email-Worm.Win32.NetSky.aa (Kaspersky Lab)
2. W32/Netsky.z@MM (McAfee)
3. W32.Netsky.Z@mm (Symantec)
4. Win32.HLLM.Netsky.22016 (Doctor Web)
5. W32/Netsky-AE (Sophos)
6. Win32/Netsky.Z@mm (RAV)
7. WORM_NETSKY.Z (Trend Micro)
8. Worm/NetSky.AA (Avira)
9. W32/Netsky.AK@mm (FRISK)
10. I-Worm/Netsky.Z (AVG), Win32.Netsky.AA@mm (SOFTWIN)
11. Worm.SomeFool.AA-2 (ClamAV)
12. W32/Netsky.Z.worm (Panda), Win32/Netsky.Z (Eset)
13. WORM_NETSKY.A [Trend]
14. Worm:W32/Netsky [F-Secure]
Netsky adalah virus yang menyebar melalui email dengan 22 Kb attachment file dan jaringan
Windows. Netsky merupakan worm terkenal karena ia memiliki banyak varian dan sangat sukses
menyebar. Hal ini juga terkenal karena P varian yang ada di nomor 1 dari daftar banyak virus dan
worm umum selama dua tahun, dengan Netsky.D mengikuti di belakang. Penciptanya juga seseorang
dibalik worm Sasser, yaitu Sven Jaschan.
Worm ini dilepaskan sebagai e -mail, menarik penerima untuk membuka lampiran. Setelah dibuka,
program terpasang akan memindai komputer untuk alamat e -mail dan e -mail itu sendiri ke semua
alamat yang ditemukan. Netsky dapat muncul di e -mail dengan enam jalur pengirim palsu yang
mungkin, seperti :
Lelang Ebay <responder@ebay.com>
Yahoo Auctions <auctions@yahoo.com>
Amazon automail <responder@amazon.com>

 MSN Lelang <auctions@msn.com>

QXL Lelang <responder@qxl.com>
EBay Lelang <responder@ebay.com>
Baris subjek berbunyi, Lelang sukses!.

Pesan itu mengatakan:

# message was sent by automail agent #
Congratulations!
You were successful in the auction.
Auction ID

:<3 sets of 4 random numbers>-A

Product ID

:<3 sets of 4 random numbers>-P

A detailed description about the product and the bill

are attached to this mail.
Please contact the seller immediately.
Thank you!

Lampiran bisa menjadi salah satu dari berikut :

prod_info_04155.bat, prod_info_04650.ba, prod_info_33462.cmd, prod_info_33967.cmd
prod_info_42313.pif, prod_info_42314.pif, prod_info_42818.pif, prod_info_49146.exe,
prod_info_49541.exe, prod_info_54234.scr, prod_info_54235.scr, prod_info_54739.scr,
prod_info_33325.txt.exe.zip, prod_info_33543.rtf.scr.zip, prod_info_34157.htm.exe.zip,
prod_info_43631.doc.exe.zip, prod_info_43859.htm.scr.zip, prod_info_47532.doc.scr.zip,
prod_info_54433.doc.exe.zip, prod_info_55761.rtf.exe.zip, prod_info_56474.txt.exe.zip,
prod_info_56780.doc.exe.zip, prod_info_65642.rtf.scr.zip, prod_info_77256.txt.scr.zip,
prod_info_87968.htm.scr.zip
Ketika dieksekusi , worm akan membuat mutex yang membuat lebih dari satu salinan dari worm dari
berjalan bernama AdmMoodownJKIS003 . Ini salinan dirinya ke folder Windows sebagai
Services.exe .
Netsky kemudian menambahkan registry value Layanan = ( folder Windows ) \ services.exe serv
ke tombol Machine run lokal, yang menyebabkan worm untuk menjalankan saat windows dimulai .
Hal ini juga menghapus nilai-nilai Taskmon dan Explorer dari kunci registrasi , serta penggunaversi
sebelumnya dari kunci yang ( nilai ini ditetapkan di sana oleh Mydoom worm) . Hal ini juga

menghapus kunci lain yang dibuat Mydoom . Hal ini juga menghapus KasperskyAV dan Sistem dari
mesin lokal run key .
Kemudian salinan dirinya ke Windows atau folder WINNT sebagai salah satu nama file yang
digunakan untuk lampiran dalam sebuah file zip . (Dari prod_info_55761.rtf.exe.zip untuk
prod_info_54433.doc.exe.zip ) .
Netsky mencari drive C melalui Z untuk folder dengan nama yang mengandung share atau
berbagi dan salinan dirinya sebagai salah satu nama berikut :
(doom2.doc.pif), (sex sex sex sex.doc.exe), (rfc compilation.doc.exe), (dictionary.doc.exe), (win
longhorn.doc.exe), (e.book.doc.exe), (how to hack.doc.exe), (max payne 2.crack.exe), (virii.scr),
(nero.7.exe), (cool screensaver.scr), (serial.txt.exe), (office_crack.exe), (hardcore porn.jpg.exe),
(angels.pif), (porno.scr), (matrix.scr), (photoshop 9 crack.exe), (strippoker.exe), (dolly_buster.jpg.pif),
(winxp_crack.exe).
Worm ini mencari alamat email dalam file dengan ekstensi berikut:

.msg

.oft

.sht

.dbx

.tbb

.adb

.doc

.wab

.asp

.uin

.rtf

.vbs

Worm ini memiliki mesin SMTP sendiri untuk massa -mail sendiri .

KERUSAKAN YANG DITIMBULKAN

Netsky ini menyerang akan menyebabkan pada system DOS, dan akan mengalami error.

SOLUSI
Memfungsikan Firewall seperti gambar di bawah. Tujuannya yakni memproteksi jika adanya
virus Netsky atau lainnya mencoba masuk ke komputer.

Dan bisa juga untuk mendeteksi dan membasmi digunakan tools W32.Netsky@mm Removal Tool
seperti gambar dibawah.

MENCEGAH VIRUS

satu-satunya jalan yang terbaik untuk mengatasi masalah ini adalah menyebarkan program antivirus
ke sebanyak mungkin sehingga virus Netsky ataupun virus lainnya dikemudian hari dapat dibasmi
dan tidak menyerang komptuer lain.