DAFTAR ISI
BAB I PENDAHULUAN....................................................................................... 1
- MALWARE.............................................................................................................. 1
- ANALISIS MALWARE............................................................................................. 2
BAB II PEMBAHASAN................................................................................................ 3
- ANALISIS STATIS.................................................................................................. 3
- File Fingerprinting......................................................................................... 4
- Anti-virus Scanning....................................................................................... 4
- Eksraksi String.............................................................................................. 5
- PE Header Information................................................................................. 7
- ANALSIS DINAMIS................................................................................................. 9
- Process Monitoring....................................................................................... 9
- Traffic Monitoring......................................................................................... 10
- Komparasi Regshot...................................................................................... 11
PERTANYAAN........................................................................................................ 13
BAB II PENUTUP........................................................................................................ 14
- KESIMPULAN........................................................................................................ 14
REFERENSI................................................................................................................. 14
1
LAPORAN ANALISIS MALWARE SPESIMEN 3
BAB I PENDAHULUAN
MALWARE
Malware (Malicious Software) adalah suatu program
yang dirancang dengan tujuan untuk merusak dengan
menyusup ke sistem komputer. Malware dapat menginfeksi
banyak komputer dengan masuk melalui email, download
internet, atau program yang terinfeksi.
Malware bisa menyebabkan kerusakan pada sistem
komputer dan memungkinkan juga terjadi pencurian data /
informasi. Hal yang pada umumnya terjadi penyebab
malware adalah mendownload software dari tempat ilegal
yang disisipan malware. Malware mencakup virus, worm,
trojan horse, sebagian besar rootkit, spyware, adware yang tidak jujur, serta software-software lain yang berbahaya dan
tidak diinginkan oleh pengguna PC.
Berikut Penjelasan beberapa malware:
● Virus Komputer adalah jenis malware yang menyerang file eksekusi (.exe) yang akan menyerang dan
menggandakan diri ketika file exe yang terinfeksi di jalankan. Virus komputer menyebar dengan cara
menyisipkan program dirinya pada program atau dokumen yang ada dalam komputer.
● Worm adalah sebuah program komputer yang dapat menggandakan dirinya secara sendiri dalam sistem
komputer. Sebuah worm dapat menggandakan dirinya dengan memanfaatkan jaringan (LAN/WAN/Internet)
tanpa perlu campur tangan dari user itu sendiri.Worm memanfaatkan celah keamanaan yang memang
terbuka atau lebih dikenal dengan sebutan vulnerability.
● Spyware adalah program yang bertindak sebagai mata-mata untuk mengetahui kebiasaan pengguna
komputer dan mengirimkan informasi tersebut ke pihak lain. Spyware biasanya digunakan oleh pihak
pemasang iklan.
● Adware adalah iklan yang dimasukan secara tersembunyi oleh pembuat program, biasanya pada program
yang bersifat freeware untuk tujuan promosi atau iklan.
● Trojan atau trojan horse adalah program yang diam-diam masuk ke komputer kita, kemudian memfasilitasi
program lain misalnya virus, sypware, adware. keylogger dan malware lainnya untuk masuk, merusak sytem,
memungkinkan orang lain meremote komputer dan mencuri informasi seperti password atau nomor kartu
kredit kita
● Keylogger adalah sebuah program yang dapat memantau penekanan tombol pada keyboard, sehingga
orang lain dapat mengetahui password dan informasi apapun yang kita ketik.
● Rootkit adalah program yang menyusup kedalam system komputer, bersembunyi dengan menyamar sebagai
bagian dari system (misalnya menempel pada patch, keygen, crack dan game), kemudian mengambil alih,
memantau kerja sistem yang disusupinya. Rootkit dapat mencuri data yang lalu-lalang di jaringan, melakukan
keylogging, mencuri cookies akun bank dan lain-lain.
● Phishing adalah suatu bentuk penipuan untuk memperoleh informasi pribadi seperti userID, password, ATM,
kartu kredit dan sebagainya melalui e-mail atau website palsu yang tampak asli
2
LAPORAN ANALISIS MALWARE SPESIMEN 3
ANALSIS MALWARE
Analisis malware adalah studi atau proses penentuan fungsionalitas, asal, dan dampak potensial dari sampel
malware yang diberikan seperti virus, worm, trojan horse, rootkit, atau backdoor. Perangkat lunak jahat atau jahat
adalah perangkat lunak komputer apa pun yang dimaksudkan untuk membahayakan sistem operasi host atau mencuri
data sensitif dari pengguna, organisasi, atau perusahaan. Malware dapat mencakup perangkat lunak yang
mengumpulkan informasi pengguna tanpa izin.
Analisis malware terbagi menjadi dua jenis, yaitu analisis statis dan analisis dinamis. Analisis malware statis :
Analisis Statis atau Kode biasanya dilakukan dengan membedah sumber daya yang berbeda dari file biner tanpa
menjalankannya dan mempelajari setiap komponen. Analisis perilaku dinamis dilakukan dengan mengamati perilaku
malware saat sebenarnya berjalan pada sistem host. Bentuk analisis ini sering dilakukan di lingkungan sandbox untuk
mencegah malware dari menginfeksi sistem produksi; banyak kotak pasir seperti itu adalah sistem virtual yang dapat
dengan mudah digulirkan kembali ke kondisi bersih setelah analisis selesai.
3
LAPORAN ANALISIS MALWARE SPESIMEN 3
BAB II PEMBAHASAN
ANALISIS STATIS
Analisis Statis merupakan metode yang digunakan untuk melakukan analisa malware dengan cara mengamati
secara langsung kode sumber (source code) malware tersebut. Dalam mengamati kode sumber malware, terdapat
teknik yang umumnya digunakan, yaitu Reverse Engineering.
Analsis Sattis yang akan dilakukan menggunakan spesimen yitaly.exe. Sebelum melakukan analisis, perlu
diperiksa apakah malware tersebut di-pack apa tidak, namun pada spesime ke 3 ini, yitaly.exe di-pack menggunakan
Unknown packer yang akan ditunjukkan pada analisis obfuscation file. Unpacking spesime 3 menggunkan 2 tools,
ExePacker untuk mendekompresi kemudian di unpack menggunakan tool Quick Unpack.
File Fingerprinting
File Fingerprinting dilakukan untuk mengidentifikasi jenis malware, apakah malware memiliki identitas yang
melekat dengan parameter nilai hash dari malware tersebut. Malware yang memiliki nama yang sama belum tentu
memiliki struktur dan fungsi yang sama yang akan berpengaruh pada pengelompokan malware nantinya. Identifikasi
4
LAPORAN ANALISIS MALWARE SPESIMEN 3
dilakukan menggunakan HasMyFile. Gambar 2.2 merupakan properties dari malware yitaly.exeyang berisi nilai hash
dari file malware.
Anti-virus Scanning
Proses anti-virus scanning memanfaatkan online scanner, salah satunya adalah VirusTotal. Website VirusTotal
bekerja dengan memindai malware, hasilnya indikasi bahwa malware tersebut telah dideteksi oleh antivirus yang
terhubung dengan VirusTotal. 31 dari 64 engines telah mengidentifikasi file yitaly.exe sebagai malware trojan.
Ditunjukkan pada gambar 2.3.
(a)
5
LAPORAN ANALISIS MALWARE SPESIMEN 3
(b) (c)
(d)
Gambar 2.3 - Hasil scanning yitaly.exe (a) Detection; (b), (c), (d), Detail dari malware - VirusTotal.com
Gambar 2.3 (a) menununjukkan 56 dari 70 antivirus mendeteksi bahwa yitaly.exe merupakan malware, salah
satunya Ad-Aware yang mengategorikan spesimen sebagai Trojan.Dialer.GlobalAcces, lalu Anti-AVL mendeteksinya
sebagai Trojan[Downloader]/Win32.Agent. Gambar 2.3 (b) menunjukkan bahwa spesimen tidak memiliki nama lain
yang ditemukan, dan signature information yang menunukkan siapa yang mengembangkan dan dipublikasikan
spesimen tersebut sebagai malware untuk diteliti. Sedangkan gambar 2.3 (c) menampilkan metadata dari spesimen
yang didapat dari ExitTool . Terakhir, gambar 2.3 (d) informasi mengenai PE atau Portable Execution dari spesimen.
Eksraksi String
Ekstraksi String dilakukan dalam analisis statis untuk mengetahui modul dan fungsi yang dimiliki oleh spesimen
malware yang dianalisis, dan dapat mengetahui file-file yang mungkin akan berjalan saat file malware dijaankan. Alat
yang digunakan untuk ekstraksi string adalah PEStudio Windows 64-bit
.
6
LAPORAN ANALISIS MALWARE SPESIMEN 3
(a)
(b)
Obfuscation File
Obfuscation merupakan teknik yang biasanya digunakan untuk menyembunyikan makna beberapa perangkat
lunak dengan mengatur ulang operasi, tetapi juga dapat digunakan untuk menambahkan watermarks yang lemah ke
kode. Biasanya file disamarkan menggunakan packer atau crypter, hal ini dilakukan oleh embuat malware untuk
mengelabuhi anti-virus, firewall, atau proxy. Mendeteksi penyamaran file dapat dilakukan menggunakan Exeinfo PE.
Gambar 2.6: File yitaly.exe merupakan file packed dengan media Unknown Packer, sehingga sebelum melakukan
analisis terhadap malware tersebut, perlakuan yang dilakukan yaitu melakukan unpack terhadap malware
Bombermania.exe
(a)
7
LAPORAN ANALISIS MALWARE SPESIMEN 3
(b)
(c)
Gambar 2.6 - Menentukan Obfuscation File yitaly.exe - Exeinfo PE
Gambar 2.6 (b) menunjukkan statistik perbedaan ukuran virtual dan ukuran mentah (ukuran asli file) dari
spesimen tersebut. Perbedaan ukuran signifikan ini merupakan parameter suatu malware di-pack atau tidak di-
pack. Unpacking pada malware yitaly.exe dilakukan menggunakan aplikasi QuickUnpacker yang menyebabkan
perubahan signifikan pada ukuran file, dari 18 Kb menjadi 48 Kb. Ketika dilakukan inpeksi lagi menggunakan
Exeinfo PE, maka hasil dari byte analyzer tidak menunjukkan perbedaan ukuran virtual dengan ukuran asli file.
Perbedaan ditunjukkan pada gambar 2.7.
8
LAPORAN ANALISIS MALWARE SPESIMEN 3
(a)
(b)
Gambar 2.7 - Obfuscation File yitaly.exe (unpacked) - Exeinfo PE
PE Header Information
PE Header Information merupakan informasi header dari malware yang dianalisis, untuk mengetahui library yang
digunakan oleh malware bila dijalankan nantinya. Sebelumnya pada VirusTotal, hasil scan dapat menunjukkan Header
dari spesimen yang di periksa. Yitaly.exe mempunyai informasi header dengan target machine yaitu Intel 386, dengan
entry point sejumlah 13156 dan 3 sections contained. PEStudio juga dapat digunakan untuk mengetahui informasi
9
LAPORAN ANALISIS MALWARE SPESIMEN 3
tersebut. Pada PEStudio, dapat dilihat di bagian imports, yitaly.exe memiliki 12 dari 180 import yang masuk kategori
blacklist. GetShortPathNameA, GetModuleFileNameA merupakan salah dua dari import name yang di-blacklist.
Libraries Import
ADVAPI32.dll · RegFlushKey RegDeleteValueA
· RegCloseKey · RegCreateKeyExA
· RegQueryValueExA · RegOpenKeyExA
· RegSetValueExA
10
LAPORAN ANALISIS MALWARE SPESIMEN 3
ole32.dll · CoUninitialize
· CoCreateInstance
· CoInitialize
Tabel 2.1 - Libraries dan Import Bombermania (unpacked).exe
11
LAPORAN ANALISIS MALWARE SPESIMEN 3
ANALISIS DINAMIS
Dynamic analysis merupakan teknik melakukan analisa malware dengan cara menjalankan sampel malware pada
komputer kemudian diamati perilakunya. Tujuan pengamatan adalah untuk memahami cara kerja malware. Skema 2.1
merupakan gambaran dari pelaksanaan analisis dinamis.
Process Monitoring
Proses monitoring merupakan kegiatan yang dilakukan untuk memeriksa proses apa yang berjalan saat malware
dieksekusi. Dari eksekusi yang dilakukan, gambar 2.9 (a) menunjukkan proses yang terjadi karena eksekusi
rundll32.exe. Terdapat pesan atau hasil SUCCESS yang menunjukkan malware tersebut melakukan tiga aktivitas,
Create File, Delete File, Copy File.
(a) (b)
Gambar 2.9- Bombermania (unpacked).exe- Process Monitor
12
LAPORAN ANALISIS MALWARE SPESIMEN 3
Traffic Monitoring
Traffic monitoring dilakukan dengan cara melihat packet capture yang ditangkap Wireshark. Pecket dapat
ditangkap diakrenakan Inetsim sebagai fake server dari host Windows XP. Lalu-lintas permintaan dapat direkam. Dari
gambar 2.11 ditunjukkan traffic yang terjadi, tidak ada request ke website khusus.
13
LAPORAN ANALISIS MALWARE SPESIMEN 3
Komparasi Regshot
Memonitor perubahan pada registri. Salah satu tools yang dapat digunakan adalah Regshot. Cara
menggunakannya sederhana. Klik tombol “1st shot”, kemudian jalankan malware. Setelah itu klik tombol “2nd shot”, lalu
klik tombol “cOmpare”.Hasil dari tools Regshot ini bisa dipilih, berupa file teks atau HTML, yang menunjukkan berapa
jumlah perubahan registri dan apa serta di mana saja perubahan tersebut. Dari hasil monitoring ddidapatkan hasil
sebagai berikut: 3 keys added, 6 values added, 4 values modified, dan 13 total changes. Hasil ditunjukkan pada
gambar 2.12
14
LAPORAN ANALISIS MALWARE SPESIMEN 3
15
LAPORAN ANALISIS MALWARE SPESIMEN 3
PERTANYAAN
1. Apa tujuan dari malware tersebut?
Bombermania (unpacked).exe merupakan file PE games yang didalamnya mengandung virus jenis trojan.
Ketika dieksekusi, terdapat 3 aktivitas yang dilakukan tanpa, yaitu Delete, Create/Write, dan Copy file yang
dilakukan secara terus menerus sehingga memenuhi resources.
2. Bagaimana caranya menyebar?
Malware tersebut dapat menyebar melalui aktivitas copy-paste file setup games Bombermania.exe karena
virus trojan yang melekat pada file setup Bombermania.exe. Menuliskan file Instruction.xml dan menjalankan
intruksi yang ada pada file tersebut.
3. Bagaimana Ciri-ciri malware tersebut?
Ciri-ciri yang ditunjukkan pada proses monitor, yaitu proses CreateFIle, DeleteFile dan lain-lain yang berstatus
SUCCESS dan ditunjukkan pada gambar 2.9 (a). Gambar 2.9 (b) menunjukkan berjalannya proses
winlogon.exe yang menjadi aktif.
4. Bagaimana cara mencegah hal ini terjadi di masa depan?
Dalam kasus file Bombermania.exe ini, harus lebih berhati-hati dalam mengcopy file tersebut dan
menjalankannya. Selalu menggunakan anti-virus yang sudah menedeteksi malware tersebut, seperti yang
ditunjukkan pada gambar 2.3 (a).
5. Bagaimana malware tersebut mencuri?
-
6. Bagaimana saya bisa menemukannya di komputer lain?
Jika melihat file yang sama, atau dengan nama lain Bombermania.exe yang sama seperti yang ditunjukkan
oleh gambar 2.3 (b), dapat melakukan scanning terlebih dahulu.
7. Indikator Jaringan ?
Tidak ada aktivitas jaringan, seperti yang ditunjukkan pada gambar 2.11.
8. Indikator Host-based?
Indikator host-based dapat dijuntukkan dari hasil komparasi Regshot, yang ditunjukkan pada gambar 2.12.
9. Tanggal Kompilasi?
Berikut adalah sejarah pembuatan file yang diambil dari VirusTotal.com
16
LAPORAN ANALISIS MALWARE SPESIMEN 3
KESIMPULAN
Analisis malware yang diakukan dengan spesimen Bombermania.exe dapat mengidentifikasi bahwa file
Bombermania.exe yang merupakan fie setup game, didalamnya terdapat script malware jenis trojan yang mana
ketika dijalankan, terdapat proses yang dijalankan, beberapanya yaitu Create/Write File, Delete File, Copy File.
Sehingga memenuhi resource dari host. Gambar 3.1 merupakan peringatan dari windows, yang muncul 2 jam
setelah malware tersebut dijalankan.
REFERENSI
Buku :
Sikorski, Michael and Hinig, Andrew. PRACTICAL MALWARE
ANALYSIS: The Hands-On Guide to Dirrecting Mallicious
Software. San Francisco.
Website :
http://pusdiklat.bps.go.id/index.php?r=artikel/view&id=248
https://www.virustotal.com/gui/home/upload
17