PERANGKAT LUNAK BERBAHAYA

(Tugas ini Dibuat Bertujuan Untuk Memenuhi Tugas Mata Kuliah Sistem
Pengamanan Komputer)

Oleh:

SUFRIADI

170170105

FAKULTAS TEKNIK

PROGRAM STUDI TEKNIK INFORMATIKA

UNIVERSITAS MALIKUSSALEH

\
 KATA PENGANTAR

Dengan segala puji dan syukur kami panjatkan kepada Tuhan Yang Maha Esa, karena
berkat rahmat serta hidayah-Nya akhirnya kami dapat menyelesaikan makalah ini. Dalam rangka
untuk memenuhi tugas mata kuliah Pengamanan Komputer.
Dalam menyelesaikan penyusunan makalah ini tidak terlepas dari bantuan banyak pihak.
Kami menyampaikan ucapan terima kasih yang tak terhingga kepada pihak-pihak yang telah
membantu dalam menyelesaikan makalah ini.
Kami menyadari bahwa pada makalah ini masih terdapat banyak kekurangan mengingat
keterbatasan kemampuan kami. Oleh sebab itu, kami sangat mengharapkan adanya kritik dan
saran yang membangun dari para pembaca sebagai masukan bagi kami.
Akhir kata kami berharap karya tulis ini dapat bermanfaat bagi pembaca pada umumnya
dan kami sebagai penulis pada khususnya. Atas segala perhatiannya kami mengucapkan banyak
terima kasih.

Bukit Indah, 25 November 2019

Penulis

 
 Daftar Isi
1 BAB I PENDAHULUAN....................................................................................................................5
1.1 Latar Belakang.............................................................................................................................5
1.2 Rumusan masalah........................................................................................................................5
2 Bab II Pembahasan..............................................................................................................................5
2.1 Perangkat lunak berbahaya..........................................................................................................5
2.2 Jenis Perangkat Lunak Berbahaya (Malware)..............................................................................6
2.3 advanced persisTenT ThreaT.......................................................................................................8
2.4 propagaTion—infecTed conTenT—viruses.................................................................................9
2.4.1 Sifat Virus............................................................................................................................9
2.5 Klasifikasi viruss.......................................................................................................................10
2.5.1 Virus Makro dan Skrip.......................................................................................................12
2.6 propagaTion—vulnerabiliTy exploiT—worms..........................................................................12
2.7 Penemuan Target.......................................................................................................................14
2.7.1 Kode Seluler......................................................................................................................18
2.8 propagaTion—social engineering—spaM e-Mail, Trojans........................................................18
2.8.1 E-Mail Spam (Massal yang Tidak Diminta)......................................................................19
2.8.2 Trojan Horses.....................................................................................................................20
2.8.3 Mobile Phone Trojans........................................................................................................21
2.9 payload—sysTeM corruption....................................................................................................21
2.9.1 Penghancuran Data............................................................................................................22
2.9.2 Kerusakan Dunia Nyata.....................................................................................................22
2.9.3 Logic Bomb.......................................................................................................................22
2.10 payload—aTTack agenT—ZoMbie, bots...................................................................................23
2.10.1 Fasilitas Remote Control....................................................................................................23
2.11 payload—inforMaTion ThefT—keyloggers, phishing, spyware................................................24
2.12 recoMMended reading...............................................................................................................24
3 Bab III penutup..................................................................................................................................25
3.1 Kesimpulan................................................................................................................................25
4 Daftar pustaka...................................................................................................................................26
 1 BAB I PENDAHULUAN
1.1 Latar Belakang
Perangkat lunak berbahaya, atau malware, bisa dibilang merupakan salah satu kategori
ancaman paling signifikan terhadap sistem komputer. [SOUP13] mendefinisikan malware
sebagai "sebuah program yang dimasukkan ke dalam suatu sistem, biasanya secara terselubung,
dengan maksud mengkompromikan kerahasiaan, integritas, atau ketersediaan data, aplikasi, atau
sistem operasi korban atau jika tidak mengganggu atau mengganggu korban." Karenanya, kami
prihatin dengan ancaman malware terhadap program aplikasi, ke utilitas  program, seperti editor
dan kompiler, dan program tingkat kernel. Kami juga prihatin dengan penggunaannya pada situs
web dan server yang disusupi atau berbahaya, atau terutama dibuat email spam atau pesan lain,
yang bertujuan untuk menipu pengguna agar mengungkapkan informasi pribadi yang sensitif.
Bab ini membahas spektrum luas dari ancaman dan penanggulangan malware. Kami mulai
dengan survei terhadap berbagai jenis malware, dan menawarkan klasifikasi luas berdasarkan
pertama pada cara yang digunakan malware untuk menyebar atau menyebar, dan kemudian pada
berbagai tindakan atau payload yang digunakan setelah malware mencapai target. Mekanisme
propagasi termasuk yang digunakan oleh virus, worm, dan Trojan. Payload termasuk korupsi
sistem, bot, phishing, spyware, dan rootkit. Itu  diskusi diakhiri dengan ulasan pendekatan
penanggulangan.  

1.2  Rumusan masalah

       Berdasarkan Latar Belakang dan Pembatasan Masalah tersebut, masalah-masalah yang dibahas dapat
dirumuskan sebagai berikut :

Menjelaskan macam program jahat pada komputer

Bagaimana cara-cara mengatasinya

2 Bab II Pembahasan
2.1 Perangkat lunak berbahaya
Perangkat lunak berbahaya, atau malware, bisa dibilang merupakan salah satu kategori
ancaman paling signifikan terhadap sistem komputer. [SOUP13] mendefinisikan malware
sebagai "sebuah program yang dimasukkan ke dalam suatu sistem, biasanya secara terselubung,
dengan maksud mengkompromikan kerahasiaan, integritas, atau ketersediaan data, aplikasi, atau
sistem operasi korban atau jika tidak mengganggu atau mengganggu korban." Karenanya, kami
prihatin dengan ancaman malware terhadap program aplikasi, ke utilitas  program, seperti editor
dan kompiler, dan program tingkat kernel. Kami juga prihatin dengan penggunaannya pada situs
web dan server yang disusupi atau berbahaya, atau terutama dibuat email spam atau pesan lain,
yang bertujuan untuk menipu pengguna agar mengungkapkan informasi pribadi yang sensitif.
Bab ini membahas spektrum luas dari ancaman dan penanggulangan malware. Kami mulai
dengan survei terhadap berbagai jenis malware, dan menawarkan klasifikasi luas berdasarkan
pertama pada cara yang digunakan malware untuk menyebar atau menyebar, dan kemudian pada
berbagai tindakan atau payload yang digunakan setelah malware mencapai target. Mekanisme
propagasi termasuk yang digunakan oleh virus, worm, dan Trojan. Payload termasuk korupsi
sistem, bot, phishing, spyware, dan rootkit. Itu  diskusi diakhiri dengan ulasan pendekatan
penanggulangan.  

2.2 Jenis Perangkat Lunak Berbahaya (Malware)

Terminologi di bidang ini menghadirkan masalah karena tidak adanya kesepakatan universal
tentang semua persyaratan dan karena beberapa kategori tumpang tindih. Tabel 6.1 adalah
panduan yang berguna untuk beberapa istilah yang digunakan. Klasifikasi Luas Malware
Sejumlah penulis berupaya untuk mengklasifikasikan malware, seperti yang ditunjukkan dalam
survei dan proposal [HANS04]. Meskipun serangkaian aspek dapat digunakan, satu pendekatan
yang berguna mengklasifikasikan malware ke dalam dua kategori besar, pertama-tama
didasarkan pada bagaimana penyebaran atau penyebaran untuk mencapai target yang diinginkan;
dan kemudian pada tindakan atau muatan yang dilakukannya setelah target tercapai Terminologi
untuk Perangkat Lunak Berbahaya (Malware)i Advanced Persistent Threat (APT) Cybercrime
diarahkan pada target bisnis dan politik, menggunakan berbagai macam teknologi intrusi dan
malware, diterapkan secara terus-menerus dan efektif untuk target tertentu dalam periode yang
panjang, sering dikaitkan dengan status negara. organisasi yang disponsori. Periklanan Adware
yang terintegrasi ke dalam perangkat lunak. Ini dapat menghasilkan iklan pop-up atau pengalihan
browser ke situs komersial. Attack kit Set alat untuk menghasilkan malware baru secara otomatis
menggunakan berbagai mekanisme propagasi dan payload yang disediakan. Auto-rooter Alat
peretas jahat yang digunakan untuk masuk ke mesin baru dari jarak jauh. Backdoor (trapdoor)
Segala mekanisme yang melewati pemeriksaan keamanan normal; itu dapat memungkinkan
akses tidak sah ke fungsionalitas dalam suatu program, atau ke sistem yang dikompromikan.
Kode Pengunduh yang menginstal item lain pada mesin yang sedang diserang. Biasanya
dimasukkan dalam kode malware yang pertama kali disisipkan ke sistem yang dikompromikan
untuk kemudian mengimpor paket malware yang lebih besar.

Drive-by-download Serangan menggunakan kode di situs Web yang disalahgunakan

yang mengeksploitasi browser kerentanan untuk menyerang sistem klien ketika situs dilihat.
Mengeksploitasi Kode khusus untuk satu kerentanan atau serangkaian kerentanan. Flooders
(DoS client) Digunakan untuk menghasilkan sejumlah besar data untuk menyerang sistem
komputer jaringan, dengan melakukan beberapa bentuk serangan denial-of-service (DoS).
Keyloggers Menangkap penekanan tombol pada sistem yang dikompromikan. Logic bomb Code
dimasukkan ke malware oleh penyusup. Bom logika tidak aktif sampai kondisi yang telah
ditentukan terpenuhi; kode kemudian memicu tindakan yang tidak sah. Virus makro Jenis virus
yang menggunakan kode makro atau skrip, biasanya tertanam dalam dokumen, dan dipicu ketika
dokumen dilihat atau diedit, untuk menjalankan dan Mekanisme propagasi termasuk infeksi
konten yang dapat dieksekusi atau ditafsirkan oleh virus yang kemudian menyebar ke sistem
lain; mengeksploitasi kerentanan perangkat lunak baik secara lokal atau melalui jaringan oleh
worm atau unduhan drive-by untuk memungkinkan malware untuk mereplikasi; dan serangan
rekayasa sosial yang meyakinkan pengguna untuk mem-bypass mekanisme keamanan untuk
menginstal Trojan, atau untuk merespons serangan phishing. Pendekatan sebelumnya untuk
klasifikasi malware membedakan antara mereka yang membutuhkan program host, menjadi kode
parasit seperti virus, dan mereka yang independen, program mandiri berjalan pada sistem seperti
worm, Trojan, dan bot. Perbedaan lain yang digunakan adalah antara malware yang tidak
mereplikasi, seperti Trojan dan email spam, dan malware yang melakukannya, termasuk virus
dan worm. Tindakan payload yang dilakukan oleh malware setelah mencapai sistem target dapat
mencakup korupsi sistem atau file data; pencurian layanan untuk membuat sistem agen
penyerang zombie sebagai bagian dari botnet; pencurian informasi dari sistem, terutama login,
kata sandi, atau detail pribadi lainnya oleh program keylogging atau spyware; dan
menyembunyikan di mana malware menyembunyikan keberadaannya di Internet sistem dari
upaya untuk mendeteksi dan memblokirnya. Sementara malware awal cenderung menggunakan
satu cara propagasi untuk memberikan satu payload tunggal, saat berevolusi, kami melihat
pertumbuhan malware campuran yang menggabungkan berbagai mekanisme propagasi dan
muatan yang meningkatkan kemampuannya untuk menyebar, menyembunyikan, dan melakukan
berbagai tindakan pada target.

Serangan campuran menggunakan berbagai metode infeksi atau penyebaran, untuk

memaksimalkan kecepatan penularan dan tingkat keparahan serangan. Beberapa malware bahkan
mendukung mekanisme pembaruan yang memungkinkannya mengubah rentang mekanisme
propagasi dan payload yang digunakan begitu dikerahkan. Di bagian berikut, kami mensurvei
berbagai kategori malware ini, dan kemudian melanjutkan dengan diskusi tentang tindakan
pencegahan yang sesuai. Attack kit Serangan Kit Awalnya, pengembangan dan penyebaran
malware membutuhkan keterampilan teknis yang cukup besar oleh penulis perangkat lunak. Ini
berubah dengan pengembangan toolkit pembuatan virus di awal 1990-an, dan kemudian kit
serangan yang lebih umum di tahun 2000-an, yang sangat membantu dalam pengembangan dan
penyebaran malware [FOSS10]. Toolkit ini, sering dikenal sebagai crimeware, sekarang
mencakup berbagai mekanisme propagasi dan modul muatan yang bahkan pemula dapat
menggabungkan, memilih, dan menyebarkan. Mereka juga dapat dengan mudah disesuaikan
dengan kerentanan terbaru yang ditemukan untuk mengeksploitasi jendela peluang antara
publikasi kelemahan dan penyebaran tambalan yang luas untuk menutupnya. Kit ini sangat
memperbesar populasi penyerang yang dapat menyebarkan malware. Meskipun perangkat yang
dibuat dengan toolkit semacam itu cenderung kurang canggih daripada yang dirancang dari awal,
banyaknya varian baru yang dapat dihasilkan oleh penyerang menggunakan toolkit ini
menciptakan masalah yang signifikan bagi sistem pertahanan yang menentangnya. Zeus
crimeware toolkit adalah contoh serangan yang menonjol, baru-baru ini, yang digunakan untuk
menghasilkan berbagai malware yang sangat efektif, tersembunyi, dan jahat.

Attack source malware lain yang signifikan selama beberapa dekade terakhir adalah
perubahan dari penyerang menjadi individu, sering termotivasi untuk menunjukkannya
kompetensi teknis untuk rekan-rekan mereka, ke sumber serangan yang lebih terorganisir dan
berbahaya. Ini termasuk penyerang bermotivasi politik, penjahat, dan kejahatan terorganisir;
organisasi yang menjual jasa mereka kepada perusahaan dan negara, dan lembaga pemerintah
nasional, seperti yang kita bahas dalam Bagian 8.1. Ini telah secara signifikan mengubah sumber
daya yang tersedia dan motivasi di balik munculnya malware, dan memang telah menyebabkan
pengembangan ekonomi bawah tanah yang besar yang melibatkan penjualan kit serangan, akses
ke host yang disusupi, dan untuk mencuri informasi.

2.3 advanced persisTenT ThreaT

Ancaman Persisten Lanjutan (APT) telah meningkat menjadi menonjol dalam beberapa
tahun terakhir. Ini bukan jenis malware baru, melainkan aplikasi yang kuat dan bersumber dari
berbagai macam teknologi intrusi dan malware untuk target yang dipilih, biasanya bisnis atau
politik. APT biasanya dikaitkan dengan organisasi yang disponsori negara, dengan beberapa
serangan kemungkinan dari perusahaan kriminal juga. Kami membahas kategori pengganggu ini
lebih lanjut di Bagian 8.1. APT berbeda dari jenis serangan lainnya dengan pemilihan target yang
cermat, dan upaya intrusi yang persisten, seringkali tersembunyi, selama periode yang lama.
Sejumlah serangan profil tinggi, termasuk Aurora, RSA, APT1, dan Stuxnet, sering dikutip
sebagai contoh. Mereka dinamai sebagai hasil dari karakteristik ini:

 Tingkat lanjut: Digunakan oleh para penyerang berbagai macam teknologi intrusi dan

malware, termasuk pengembangan malware khusus jika diperlukan. Masing-masing

komponen mungkin tidak secara teknis maju, tetapi dipilih dengan cermat agar sesuai

dengan target yang dipilih.

 Persisten: Penerapan serangan yang ditentukan dalam waktu yang lama terhadap target

yang dipilih untuk memaksimalkan peluang keberhasilan. Berbagai serangan dapat

secara progresif, dan sering diam-diam, diterapkan sampai target dikompromikan

 Ancaman: Ancaman terhadap target yang dipilih sebagai akibat dari niat penyerang yang

terorganisir, mampu, dan didanai dengan baik untuk mengkompromikan target yang
 dipilih secara khusus. Keterlibatan aktif orang-orang dalam proses ini sangat

meningkatkan tingkat ancaman dari itu karena alat serangan otomatis, dan juga

kemungkinan serangan yang berhasil

2.4 propagaTion—infecTed conTenT—viruses

Kategori pertama dari propagasi malware menyangkut fragmen perangkat lunak parasit yang

melekat pada beberapa konten yang dapat dieksekusi yang ada. Fragmen tersebut dapat berupa

kode mesin yang menginfeksi beberapa aplikasi, utilitas, atau program sistem yang ada, atau

bahkan kode yang digunakan untuk mem-boot sistem komputer. Baru-baru ini, fragmen telah

menjadi beberapa bentuk kode scripting, biasanya digunakan untuk mendukung konten aktif

dalam file data seperti dokumen Microsoft Word, spreadsheet Excel, atau dokumen Adobe PDF.

2.4.1 Sifat Virus

Virus komputer adalah perangkat lunak yang dapat "menginfeksi" program lain, atau bahkan

segala jenis konten yang dapat dieksekusi, dengan memodifikasi mereka. Modifikasi termasuk

menyuntikkan kode asli dengan rutin untuk membuat salinan kode virus, yang kemudian dapat

menginfeksi konten lain. Virus komputer pertama kali muncul pada awal 1980-an, dan istilah itu

sendiri dikaitkan dengan Fred Cohen. Cohen adalah penulis buku inovatif tentang subjek

[COHE94]. Virus Otak, pertama kali terlihat pada tahun 1986, adalah salah satu yang pertama

menargetkan sistem MSDOS, dan mengakibatkan sejumlah besar infeksi untuk saat ini. Virus

biologis adalah potongan kecil kode genetik — DNA atau RNA — yang dapat mengambil alih

mesin sel hidup dan mengelabuinya untuk menghasilkan ribuan

 replika sempurna dari virus asli. Seperti rekan biologisnya, virus komputer membawa dalam

kode instruksinya resep untuk membuat salinan sempurna dari dirinya sendiri. Virus khas
menjadi tertanam dalam suatu program, atau pembawa konten yang dapat dieksekusi, pada

komputer. Kemudian, setiap kali komputer yang terinfeksi bersentuhan dengan sepotong kode

yang tidak terinfeksi, salinan baru virus masuk ke lokasi baru. Dengan demikian, infeksi dapat

menyebar dari komputer ke komputer, dibantu oleh pengguna yang tidak curiga, yang bertukar

program-program ini atau file-file pembawa pada disk atau stik USB; atau yang mengirim

mereka satu sama lain melalui jaringan. Dalam lingkungan jaringan, kemampuan untuk

mengakses dokumen, aplikasi, dan layanan sistem pada komputer lain memberikan budaya yang

sempurna untuk penyebaran kode viral tersebut.

2.5 Klasifikasi viruss

Telah terjadi perlombaan senjata terus menerus antara penulis virus dan penulis  perangkat lunak

anti-virus sejak virus pertama kali muncul. Karena tindakan pencegahan yang efektif

dikembangkan untuk jenis virus yang ada, jenis yang lebih baru dikembangkan. Tidak ada

skema klasifikasi sederhana atau disetujui secara universal untuk virus. Pada bagian ini, kita

mengikuti [AYCO06] dan mengklasifikasikan virus di sepanjang dua sumbu ortogonal: jenis

target yang coba diinfeksi virus dan metode yang digunakan virus untuk menyembunyikan diri

dari deteksi oleh pengguna dan perangkat lunak anti-virus. Klasifikasi virus berdasarkan target

meliputi kategori berikut:

• Boot sector infector: Menginfeksi rekaman master boot atau merekam boot dan menyebar

ketika sistem di-boot dari disk yang berisi virus.

• File infector: Menginfeksi file yang oleh sistem operasi atau shell dianggap dapat dieksekusi.

• Virus makro: Menginfeksi file dengan kode makro atau skrip yang ditafsirkan oleh suatu

aplikasi.
• Virus multipartit: Menginfeksi file dengan berbagai cara. Biasanya, multipartit  virus mampu

menginfeksi banyak jenis file, sehingga pemberantasan virus harus berurusan dengan semua situs

infeksi yang mungkin.

Klasifikasi virus berdasarkan strategi penyembunyian mencakup kategori berikut:

• Virus terenkripsi: Suatu bentuk virus yang menggunakan enkripsi untuk mengaburkan

kontennya. Sebagian dari virus menciptakan kunci enkripsi acak dan mengenkripsi sisa virus.

Kunci disimpan dengan virus. Ketika terinfeksi program dipanggil, virus menggunakan kunci

acak yang disimpan untuk mendekripsi virus. Ketika virus bereplikasi, kunci acak yang berbeda

dipilih. Karena sebagian besar virus dienkripsi dengan kunci yang berbeda untuk setiap contoh,

tidak ada pola bit yang konstan untuk diamati.

• Virus Stealth: Suatu bentuk virus yang secara eksplisit dirancang untuk menyembunyikan diri

dari deteksi oleh perangkat lunak anti-virus. Dengan demikian, seluruh virus, bukan hanya

muatan yang disembunyikan. Mungkin menggunakan teknik mutasi, kompresi, atau rootkit

untuk mencapai ini.

• Virus polimorfik: Suatu bentuk virus yang membuat salinan selama replikasi yang secara

fungsional setara tetapi memiliki pola bit yang berbeda

• Virus metamorf: Seperti halnya virus polimorfik, virus metamorf bermutasi dengan setiap

infeksi. Perbedaannya adalah bahwa virus metamorf menulis ulang dirinya sepenuhnya pada

setiap iterasi, menggunakan beberapa teknik transformasi, meningkatkan kesulitan pendeteksian.

Virus metamorf dapat mengubah perilaku dan penampilannya.

2.5.1 Virus Makro dan Skrip
Pada pertengahan 1990-an, virus kode makro atau skrip menjadi jenis virus yang paling umum.
Virus makro menginfeksi kode skrip yang digunakan untuk mendukung konten aktif dalam
berbagai jenis dokumen pengguna. Virus makro sangat mengancam karena sejumlah alasan:
1. Virus makro adalah platform independen. Banyak virus makro menginfeksi aktif konten dalam
aplikasi yang umum digunakan, seperti makro dalam dokumen Microsoft Word atau dokumen
Microsoft Office lainnya, atau kode skrip dalam dokumen Adobe PDF. Platform perangkat keras
dan sistem operasi apa pun yang mendukung aplikasi ini dapat terinfeksi.

2. Virus makro menginfeksi dokumen, bukan bagian kode yang dapat dieksekusi. Sebagian besar
informasi yang diperkenalkan ke sistem komputer adalah dalam bentuk dokumen daripada
program.

3. Virus makro mudah menyebar, karena dokumen yang mereka eksploitasi dibagikan dalam
penggunaan normal. Metode yang sangat umum adalah melalui surat elektronik.

4. Karena virus makro menginfeksi dokumen pengguna daripada program sistem, kontrol akses
sistem file tradisional terbatas digunakan untuk mencegah penyebarannya, karena pengguna
diharapkan untuk memodifikasinya.

Virus makro mengambil keuntungan dari dukungan untuk konten aktif menggunakan skrip atau
bahasa makro, tertanam dalam dokumen pengolah kata atau jenis file lainnya. Biasanya,
pengguna menggunakan makro untuk mengotomatiskan tugas yang berulang dan dengan
demikian menghemat penekanan tombol. Mereka juga digunakan untuk mendukung konten
dinamis, validasi formulir, dan tugas berguna lainnya yang terkait dengan dokumen-dokumen
ini.

2.6 propagaTion—vulnerabiliTy exploiT—worms

Kategori selanjutnya dari penyebaran malware menyangkut eksploitasi perangkat lunak

 kerentanan, seperti yang kita bahas dalam Bab 10 dan 11, yang umumnya dieksploitasi oleh

cacing komputer. Worm adalah program yang secara aktif mencari lebih banyak mesin untuk

menginfeksi, dan setiap mesin yang terinfeksi berfungsi sebagai landasan peluncuran otomatis

untuk serangan pada mesin lain. Program cacing mengeksploitasi perangkat lunak

 kerentanan dalam program klien atau server untuk mendapatkan akses ke setiap sistem baru.

Mereka dapat menggunakan koneksi jaringan untuk menyebar dari satu sistem ke sistem lainnya.

Mereka juga dapat menyebar melalui media bersama, seperti drive USB atau disk data CD dan

DVD. Cacing email menyebar dalam kode makro atau skrip yang disertakan dalam dokumen
yang dilampirkan ke email atau ke transfer file messenger instan. Setelah aktivasi, worm dapat

menggandakan dan memperbanyak lagi. Selain penyebaran, worm biasanya membawa beberapa

bentuk payload, seperti yang akan kita diskusikan nanti.

Konsep worm komputer diperkenalkan dalam novel SF John Brunner 1975 The Shockwave

Rider. Implementasi cacing pertama yang diketahui dilakukan di Xerox Palo Alto Labs pada

awal 1980-an. Itu tidak berbahaya, mencari sistem siaga untuk digunakan untuk menjalankan

tugas yang intensif secara komputasi. Untuk mereplikasi dirinya sendiri, worm menggunakan

beberapa cara untuk mengakses sistem jarak jauh. Ini termasuk yang berikut ini, yang sebagian

besar masih terlihat dalam penggunaan aktif [SYMA13]: • Fasilitas surat elektronik atau pesan

instan: Cacing mengirim email salinan dirinya ke sistem lain, atau mengirimkan dirinya sebagai

lampiran melalui layanan pesan instan , sehingga kodenya dijalankan ketika email atau lampiran

diterima atau dilihat.

• Berbagi file: Cacing membuat salinannya sendiri atau menginfeksi file lain yang sesuai

sebagai virus pada media yang dapat dilepas seperti drive USB; kemudian dijalankan ketika

drive terhubung ke sistem lain menggunakan mekanisme autorun dengan mengeksploitasi

beberapa kerentanan perangkat lunak, atau ketika pengguna membuka file yang terinfeksi pada

sistem target.

• Kemampuan eksekusi jarak jauh: Suatu worm mengeksekusi salinan dirinya pada sistem lain,

baik dengan menggunakan fasilitas eksekusi jarak jauh eksplisit atau dengan mengeksploitasi

cacat program dalam layanan jaringan untuk menumbangkan operasinya (seperti yang kita bahas

dalam Bab 10 dan 11).

• Akses file jarak jauh atau kemampuan transfer: Cacing menggunakan akses file jarak jauh atau

layanan transfer ke sistem lain untuk menyalin dirinya dari satu sistem ke sistem lainnya, tempat

pengguna pada sistem itu kemudian dapat menjalankannya.

• Kemampuan login jarak jauh: Cacing masuk ke sistem jarak jauh sebagai pengguna dan

kemudian menggunakan perintah untuk menyalin dirinya sendiri dari satu sistem ke sistem

lainnya, di mana ia akan menjalankan Salinan baru dari program worm kemudian dijalankan

pada sistem jarak jauh di mana, di samping fungsi payload apa pun yang dijalankannya pada

sistem itu, ia terus menyebar.

2.7 Penemuan Target

Fungsi pertama dalam fase propagasi untuk worm jaringan adalah untuknya mencari sistem lain

untuk menginfeksi, suatu proses yang dikenal sebagai pemindaian atau sidik jari. Untuk cacing

seperti itu, yang mengeksploitasi kerentanan perangkat lunak dalam jaringan yang dapat diakses

dari jarak jauh  layanan, harus mengidentifikasi sistem potensial menjalankan layanan rentan,

dan kemudian menginfeksi mereka. Kemudian, biasanya, kode worm sekarang diinstal pada

mesin yang terinfeksi mengulangi proses pemindaian yang sama, sampai jaringan besar mesin

yang terinfeksi dibuat. [MIRK04] mencantumkan jenis strategi pemindaian alamat jaringan

berikut yang dapat digunakan oleh worm tersebut:

• Acak: Setiap host yang dikompromikan menyelidiki alamat acak di ruang alamat IP,

menggunakan seed yang berbeda. Teknik ini menghasilkan volume lalu lintas Internet yang

tinggi, yang dapat menyebabkan gangguan umum bahkan sebelum serangan yang sebenarnya

diluncurkan.
• Daftar-Hit: Penyerang pertama-tama menyusun daftar panjang mesin-mesin rentan yang

potensial. Ini bisa menjadi proses lambat yang dilakukan dalam waktu lama untuk menghindari

deteksi bahwa serangan sedang berlangsung. Setelah daftar dikompilasi, penyerang mulai

menginfeksi mesin pada daftar. Setiap mesin yang terinfeksi dilengkapi dengan sebagian dari

daftar untuk dipindai. Strategi ini menghasilkan periode pemindaian yang sangat singkat, yang

mungkin membuat sulit untuk mendeteksi bahwa infeksi sedang terjadi.

• Topologis: Metode ini menggunakan informasi yang terdapat pada mesin korban yang

terinfeksi untuk menemukan lebih banyak host yang akan dipindai.

• Subnet lokal: Jika sebuah host dapat terinfeksi di balik firewall, host itu kemudian mencari

target di jaringan lokalnya sendiri. Host menggunakan struktur alamat subnet untuk menemukan

host lain yang seharusnya dilindungi oleh firewall.

Model Propagasi Cacing

Cacing yang dirancang dengan baik dapat menyebar dengan cepat dan menginfeksi sejumlah

besar host. Berguna untuk memiliki model umum untuk laju penyebaran cacing. Virus dan

cacing komputer menunjukkan perilaku replikasi dan propagasi diri yang serupa dengan virus

biologis. Dengan demikian kita dapat melihat model epidemi klasik untuk memahami virus

komputer dan perilaku propagasi cacing. Model epidemi klasik yang disederhanakan dapat

dinyatakan sebagai berikut:

Morris Worm

Bisa dibilang, infeksi cacing yang paling awal, dan karenanya terkenal, dirilis ke Internet oleh

Robert Morris pada tahun 1988 [ORMA03]. Cacing Morris dirancang untuk menyebar pada

sistem UNIX dan menggunakan sejumlah berbeda

 teknik propagasi. Ketika salinan mulai dieksekusi, tugas pertamanya adalah menemukan host

lain yang dikenal oleh host ini yang akan mengizinkan entri dari host ini. Cacing melakukan
tugas ini dengan memeriksa berbagai daftar dan tabel, termasuk tabel sistem yang menyatakan

mesin mana yang dipercayai oleh host ini, file penerusan email pengguna, tabel yang digunakan

pengguna untuk mengakses akses ke akun jarak jauh, dan dari program yang melaporkan status

jaringan

 koneksi. Untuk setiap host yang ditemukan, worm mencoba sejumlah metode untuk

mendapatkan akses:

1. Ia mencoba untuk masuk ke host jarak jauh sebagai pengguna yang sah. Dalam metode ini,

worm pertama-tama mencoba untuk memecahkan file kata sandi lokal dan kemudian

menggunakan kata sandi yang ditemukan dan ID pengguna yang sesuai. Asumsinya adalah

bahwa banyak pengguna akan menggunakan kata sandi yang sama pada sistem yang berbeda.

Untuk mendapatkan kata sandi, worm menjalankan program pemecahan kata sandi yang

mencoba:

a. Setiap nama akun pengguna dan permutasi sederhana itu

b. Daftar 432 kata sandi bawaan yang menurut Morris kemungkinan adalah kandidat1

c. Semua kata dalam kamus sistem local

2. Ini mengeksploitasi bug dalam protokol jari UNIX, yang melaporkan keberadaan pengguna

jarak jauh.

3. Ini mengeksploitasi pintu jebakan dalam opsi debug dari proses jarak jauh yang menerima dan

mengirim email.

Worm Nimda yang muncul pada September 2001 juga memiliki karakteristik worm, virus, dan

kode ponsel. Ini menyebar menggunakan berbagai metode distribusi:

• Email: Pengguna pada host yang rentan membuka lampiran email yang terinfeksi; Nimda

mencari alamat email pada host dan kemudian mengirimkan salinannya sendiri ke alamat

tersebut.
• Berbagi Windows: Nimda memindai host untuk berbagi file Windows yang tidak aman;

kemudian dapat menggunakan NetBIOS86 sebagai mekanisme transportasi untuk menginfeksi

file pada host itu

Teknologi Cacing

Teknologi canggih dalam cacing meliputi:

• Multiplatform: Cacing yang lebih baru tidak terbatas pada mesin Windows tetapi dapat

 menyerang berbagai platform, terutama varietas UNIX yang populer; atau

 mengeksploitasi bahasa makro atau skrip yang didukung dalam jenis dokumen populer.

• Multi-exploit: Cacing baru menembus sistem dalam berbagai cara, menggunakan exploit

terhadap server Web, browser, e-mail, berbagi file, dan aplikasi berbasis jaringan lainnya; atau

melalui media bersama.

• Penyebaran ultra cepat: Mengeksploitasi berbagai teknik untuk mengoptimalkan tingkat

penyebaran cacing untuk memaksimalkan kemungkinannya menemukan mesin yang rentan

sebanyak mungkin dalam periode waktu yang singkat.

• Polymorphic: Untuk menghindari deteksi, melewati filter masa lalu, dan menggagalkan

analisis real-time, worm mengadopsi teknik virus polimorfik. Setiap salinan worm memiliki

kode baru yang dihasilkan dengan cepat menggunakan instruksi dan teknik enkripsi yang setara

secara fungsional.

• Metamorf: Selain mengubah penampilan mereka, cacing metamorf memiliki daftar pola

perilaku yang dilepaskan pada berbagai tahap propagasi.

• Kendaraan transportasi: Karena cacing dapat dengan cepat membahayakan sejumlah besar

sistem, mereka sangat ideal untuk menyebarkan berbagai muatan berbahaya, seperti bot

penolakan layanan, rootkit, generator email spam, dan spyware yang didistribusikan.
• Eksploitasi zero-day: Untuk mencapai kejutan dan distribusi maksimum, worm harus

mengeksploitasi kerentanan yang tidak diketahui yang hanya ditemukan oleh komunitas jaringan

umum ketika worm diluncurkan.

Kode Seluler Kode seluler mengacu pada program (mis., Skrip, makro, atau instruksi portabel

lainnya) yang dapat dikirimkan tidak berubah ke kumpulan platform dan platform yang

heterogen.

2.7.1 Kode Seluler

Kode seluler mengacu pada program (mis., Skrip, makro, atau instruksi portabel lainnya) yang
dapat dikirimkan tidak berubah ke kumpulan platform dan platform yang heterogen. jalankan
dengan semantik identik [JANS08].

2.8 propagaTion—social engineering—spaM e-Mail, Trojans

Kategori terakhir dari penyebaran malware yang kami pertimbangkan melibatkan rekayasa
sosial, “menipu” pengguna untuk membantu dalam kompromi sistem mereka sendiri atau
informasi pribadi. Ini dapat terjadi ketika pengguna melihat dan menanggapi beberapa email
SPAM, atau mengizinkan instalasi dan eksekusi beberapa program Trojan horse atau kode skrip.
2.8.1 E-Mail Spam (Massal yang Tidak Diminta)
Dengan pertumbuhan eksplosif Internet selama beberapa dekade terakhir, meluasnya
penggunaan e-mail, dan biaya yang sangat rendah yang diperlukan untuk mengirim e-mail dalam
volume besar, telah muncul peningkatan yang tidak diminta email massal, umumnya dikenal
sebagai spam. Sejumlah perkiraan baru-baru ini menyarankan bahwa email spam dapat mencapai
90% atau lebih dari semua email yang dikirim. Ini membebankan biaya yang signifikan pada
infrastruktur jaringan yang dibutuhkan untuk menyampaikan lalu lintas ini, dan pada pengguna
yang perlu menyaring email resmi mereka dari banjir ini. Menanggapi pertumbuhan eksplosif
ini, telah terjadi pertumbuhan industri anti-spam yang sama cepatnya yang menyediakan produk
untuk mendeteksi dan memfilter email spam. Ini telah menyebabkan perlombaan senjata antara
spammer yang merancang teknik untuk menyelinap konten mereka melalui, dan dengan upaya
para pembela untuk memblokir mereka [KREI09]. Dalam beberapa tahun terakhir, volume email
spam sudah mulai menurun. Salah satu alasannya adalah pertumbuhan serangan yang cepat,
termasuk spam, menyebar melalui jaringan media sosial. Ini mencerminkan pertumbuhan yang
cepat dalam penggunaan jaringan ini, yang membentuk arena baru bagi penyerang untuk
mengeksploitasi [SYMA13]. Sementara beberapa spam dikirim dari server surat yang sah,
sebagian besar spam terbaru dikirim oleh botnet menggunakan sistem pengguna yang disusupi,
seperti yang kita diskusikan di Bagian 6.6. Sebagian besar konten email spam hanya berupa
iklan, berusaha meyakinkan penerima untuk membeli beberapa produk online, seperti obat-
obatan, atau digunakan dalam penipuan, seperti penipuan stok atau iklan pekerjaan money bag.
Tetapi spam juga merupakan pembawa malware yang signifikan. E-mail ini mungkin memiliki
dokumen terlampir, yang, jika dibuka, dapat mengeksploitasi kerentanan perangkat lunak untuk
menginstal malware pada sistem pengguna, seperti yang kita bahas di bagian sebelumnya. Atau,
mungkin ada program kuda Troya yang terpasang atau kode skrip yang, jika dijalankan, juga
menginstal malware pada sistem pengguna. Beberapa Trojan menghindari perlunya persetujuan
pengguna dengan mengeksploitasi kerentanan perangkat lunak untuk menginstal sendiri, seperti
yang akan kita bahas selanjutnya. Akhirnya spam dapat digunakan dalam serangan phishing,
biasanya mengarahkan pengguna ke situs Web palsu yang mencerminkan beberapa layanan yang
sah, seperti situs perbankan online, di mana ia mencoba untuk menangkap rincian login dan kata
sandi pengguna; atau untuk mengisi beberapa formulir dengan detail pribadi yang cukup untuk
memungkinkan penyerang menyamar sebagai pengguna dalam pencurian identitas. Semua
penggunaan ini menjadikan email spam sebagai masalah keamanan yang signifikan. Namun,
dalam banyak kasus, itu memerlukan pilihan aktif pengguna untuk melihat email dan dokumen
yang terlampir, atau untuk mengizinkan instalasi beberapa program, agar terjadi kompromi.
2.8.2 Trojan Horses
Trojan horse2 adalah program atau utilitas yang berguna, atau tampaknya berguna, mengandung 
kode tersembunyi yang, ketika dipanggil, melakukan beberapa fungsi yang tidak diinginkan atau
berbahaya. Program kuda troya dapat digunakan untuk menyelesaikan fungsi secara tidak
langsung yang tidak dapat dicapai penyerang secara langsung. Misalnya, untuk mendapatkan
akses ke sensitif,

2Dalam mitologi Yunani, kuda Troya digunakan oleh orang Yunani selama pengepungan mereka
terhadap Troy. Epeios membangun kuda kayu berongga raksasa tempat tiga puluh pahlawan
Yunani paling gagah berani menyembunyikan diri. Orang-orang Yunani lainnya membakar
perkemahan mereka dan berpura-pura berlayar tetapi sebenarnya bersembunyi di dekatnya.
Trojan, yakin kudanya adalah hadiah dan pengepungan berakhir, menyeret kudanya ke kota.
Malam itu, orang-orang Yunani muncul dari kuda dan membuka gerbang kota kepada tentara
Yunani. Terjadi pertumpahan darah, yang mengakibatkan kehancuran Troy dan kematian atau
perbudakan semua warga negaranya.

program kuda yang, ketika dijalankan, memindai file pengguna untuk informasi sensitif yang
diinginkan dan mengirimkan salinannya ke penyerang melalui formulir Web atau email atau
pesan teks. Penulis kemudian dapat memikat pengguna untuk menjalankan program dengan
memasukkannya ke dalam game atau program utilitas yang bermanfaat, dan membuatnya
tersedia melalui situs distribusi perangkat lunak yang dikenal atau toko aplikasi. Pendekatan ini
telah digunakan baru-baru ini dengan utilitas yang "mengklaim" sebagai pemindai anti-virus
terbaru, atau pembaruan keamanan, untuk sistem, tetapi yang sebenarnya Trojan jahat, sering
membawa muatan seperti spyware yang mencari kredensial perbankan. Oleh karena itu,
pengguna perlu mengambil tindakan pencegahan untuk memvalidasi sumber perangkat lunak apa
pun yang mereka instal. Kuda Trojan masuk ke dalam salah satu dari tiga model:

• Terus menjalankan fungsi program asli dan melakukan aktivitas jahat terpisah.

• Terus menjalankan fungsi program asli tetapi memodifikasi fungsi untuk melakukan aktivitas
jahat (mis., Versi Trojan horse dari program login yang mengumpulkan kata sandi) atau untuk
menyamarkan aktivitas jahat lainnya (mis. Versi Trojan horse dari daftar proses program yang
tidak menampilkan proses tertentu yang berbahaya).

• Melakukan fungsi jahat yang sepenuhnya menggantikan fungsi program asli.

2.8.3 Mobile Phone Trojans
Trojans ponsel juga pertama kali muncul pada tahun 2004 dengan ditemukannya Skuller. Seperti
halnya cacing mobile, targetnya adalah smartphone, dan Trojan mobile awal menargetkan ponsel
Symbian. Baru-baru ini, sejumlah besar Trojan telah terdeteksi yang menargetkan ponsel
Android dan iPhone Apple. Trojans ini biasanya didistribusikan melalui satu atau lebih pasar
aplikasi untuk ponsel target O / S. Pada 2011, Google menghapus sejumlah aplikasi dari Android
Market yang merupakan Trojan yang mengandung malware DroidDream. Ini adalah agen
zombie yang kuat yang mengeksploitasi kerentanan dalam beberapa versi Android yang
digunakan saat ini untuk mendapatkan akses penuh ke sistem untuk memantau data dan
menginstal kode tambahan. Namun, ini hanya satu dari 49 keluarga malware Android yang
dianalisis di [ZHOU12]. Mereka meninjau lebih dari 1.200 sampel malware yang ditemukan di
berbagai pasar Android, dan mencatat bahwa 90% dari ini mengakibatkan ponsel yang
dikompromikan ditambahkan ke botnet, seringkali dengan dukungan untuk mengakses layanan
premium atau untuk memanen informasi pengguna. Mereka lebih lanjut mencatat bahwa tidak
ada produk anti-virus seluler yang mereka uji mampu mendeteksi semua keluarga ini. Oleh
karena itu, pengembangan lebih lanjut dari produk-produk ini jelas diperlukan, terutama
mengingat evolusi yang cepat dari kategori malware ini Kontrol yang lebih ketat yang
diberlakukan Apple pada app store mereka, berarti bahwa sebagian besar Trojan iPhone terlihat
berkencan dengan ponsel yang "dipenjara", dan didistribusikan melalui situs tidak resmi. Namun
sejumlah versi iPhone O / S berisi beberapa bentuk kerentanan grafik atau PDF. Memang
kerentanan ini adalah cara utama yang digunakan untuk "mem-jailbreak" ponsel. Tetapi mereka
juga menyediakan jalur yang dapat digunakan malware untuk menargetkan ponsel. Sementara
Apple telah memperbaiki sejumlah kerentanan ini, varian baru terus ditemukan. Ini adalah
ilustrasi lain tentang betapa sulitnya, bahkan untuk organisasi dengan sumber daya yang baik,
untuk menulis perangkat lunak yang aman dalam sistem yang kompleks.

2.9 payload—sysTeM corruption

Begitu malware aktif di sistem target, kekhawatiran selanjutnya adalah tindakan apa yang akan
diambil pada sistem ini. Artinya, muatan apa yang dibawanya. Beberapa malware memiliki
muatan tidak ada atau tidak berfungsi. Satu-satunya tujuan, baik disengaja atau karena rilis awal
tidak disengaja, adalah untuk menyebar. Lebih umum, ia membawa satu atau lebih muatan yang
melakukan tindakan rahasia untuk penyerang. Muatan awal yang terlihat pada sejumlah virus
dan worm mengakibatkan kerusakan data pada sistem yang terinfeksi ketika kondisi pemicu
tertentu dipenuhi [WEAV03]. Payload terkait adalah muatan yang menampilkan pesan atau
konten yang tidak diinginkan pada sistem pengguna saat dipicu. Lebih serius lagi, varian lain
mencoba untuk menimbulkan kerusakan dunia nyata pada sistem. Semua tindakan ini
menargetkan integritas perangkat lunak atau perangkat keras sistem komputer, atau data
pengguna. Perubahan ini mungkin tidak terjadi segera, tetapi hanya ketika kondisi pemicu
khusus dipenuhi yang memenuhi kode bom logika.
2.9.1 Penghancuran Data
Virus Chernobyl adalah contoh awal dari virus yang merusak memori-residen Windows-95 dan
98, yang pertama kali terlihat pada tahun 1998. Virus ini menginfeksi file yang dapat dieksekusi
ketika dibuka. Dan ketika tanggal pemicu tercapai, itu menghapus data pada sistem yang
terinfeksi dengan menimpa megabyte pertama hard drive dengan nol, yang mengakibatkan
kerusakan besar pada seluruh sistem file. Ini pertama kali terjadi pada 26 April 1999, ketika
perkiraan menunjukkan lebih dari satu juta komputer terpengaruh. Demikian pula, cacing surat
massal Klez adalah contoh awal dari cacing destruktif yang menginfeksi sistem Windows-95 ke
XP, dan pertama kali terlihat pada Oktober 2001. Cacing menyebar melalui email salinannya
sendiri ke alamat-alamat yang ditemukan di buku alamat dan di file pada sistem. Itu dapat
menghentikan dan menghapus beberapa program anti-virus yang berjalan pada sistem. Pada
tanggal pemicu, menjadi tanggal 13 dari beberapa bulan setiap tahun, itu menyebabkan file pada
hard drive lokal menjadi kosong. Sebagai alternatif untuk hanya menghancurkan data, beberapa
malware mengenkripsi data pengguna, dan menuntut pembayaran untuk mengakses kunci yang
diperlukan untuk memulihkan informasi ini. Ini kadang-kadang dikenal sebagai ransomware.

2.9.2 Kerusakan Dunia Nyata

Varian lebih lanjut dari muatan korupsi sistem bertujuan untuk menyebabkan kerusakan pada
peralatan fisik. Sistem yang terinfeksi jelas merupakan perangkat yang paling mudah
ditargetkan. Itu Virus Chernobyl yang disebutkan di atas tidak hanya merusak data, tetapi juga
mencoba untuk menulis ulang kode BIOS yang digunakan untuk mem-boot komputer. Jika
berhasil, proses booting gagal, dan sistem tidak dapat digunakan sampai chip BIOS diprogram
ulang atau diganti. Baru-baru ini, worm Stuxnet yang kita bahas sebelumnya menargetkan
beberapa perangkat lunak sistem kontrol industri spesifik sebagai payload utamanya [CHEN11,
KUSH13]. Jika sistem kontrol yang menggunakan perangkat lunak kontrol industri Siemens
tertentu dengan konfigurasi perangkat tertentu terinfeksi, maka worm tersebut mengganti kode
kontrol asli dengan kode yang dengan sengaja menggerakkan peralatan yang dikendalikan di luar
rentang operasi normal, yang mengakibatkan kegagalan peralatan yang terpasang. Sentrifugal
yang digunakan dalam program pengayaan uranium Iran diduga kuat sebagai target, dengan
laporan tingkat kegagalan yang jauh lebih tinggi dari yang diamati pada mereka selama periode
ketika cacing ini aktif. Seperti disebutkan dalam diskusi kami sebelumnya, ini telah
menimbulkan kekhawatiran atas penggunaan malware bertarget canggih untuk sabotase industry.

2.9.3 Logic Bomb

Komponen utama malware yang merusak data adalah bom logika. Bom logika adalah kode yang
disematkan dalam malware yang diatur ke "meledak" ketika kondisi tertentu terpenuhi. Contoh
kondisi yang dapat digunakan sebagai pemicu untuk bom logika adalah ada atau tidaknya file
atau perangkat tertentu pada sistem, hari tertentu dalam seminggu atau tanggal, versi tertentu
atau konfigurasi beberapa perangkat lunak, atau pengguna tertentu yang menjalankan aplikasi.
Setelah dipicu, bom dapat mengubah atau menghapus data atau seluruh file, menyebabkan mesin
berhenti, atau melakukan kerusakan lainnya. Contoh mencolok tentang bagaimana bom logika
dapat digunakan adalah kasus Tim Lloyd, yang dihukum karena membuat bom logika yang
merugikan majikannya, Omega Engineering, lebih dari $ 10 juta, menggagalkan strategi
pertumbuhan perusahaannya, dan akhirnya menyebabkan PHK. dari 80 pekerja [GAUD00].
Akhirnya, Lloyd adalah  dihukum

2.10 payload—aTTack agenT—ZoMbie, bots

Kategori payload berikutnya yang kita diskusikan adalah ketika malware merusak sumber daya
komputasi dan jaringan dari sistem yang terinfeksi untuk digunakan oleh penyerang. Sistem
semacam itu dikenal sebagai bot (robot), zombie atau drone, dan diam-diam mengambil alih
komputer yang terhubung internet dan kemudian menggunakan komputer itu untuk meluncurkan
atau mengelola

serangan yang sulit dilacak ke pembuat bot. Bot biasanya ditanam di ratusan atau ribuan
komputer milik pihak ketiga yang tidak menaruh curiga. Pengumpulan bot sering mampu
bertindak secara terkoordinasi; koleksi seperti itu disebut sebagai botnet. Jenis payload ini
menyerang integritas dan ketersediaan sistem yang terinfeksi.

2.10.1 Fasilitas Remote Control

Fasilitas remote control adalah yang membedakan bot dari worm. Cacing menyebarkan dirinya
sendiri dan mengaktifkan dirinya sendiri, sedangkan bot dikendalikan oleh beberapa bentuk
jaringan server perintah-dan-kontrol (C&C). Kontak ini tidak perlu kontinu, tetapi dapat dimulai
secara berkala ketika bot melihatnya memiliki akses jaringan. Cara awal menerapkan fasilitas
remote control menggunakan server IRC. Semua bot bergabung dengan saluran tertentu di server
ini dan memperlakukan pesan masuk sebagai perintah. Botnet yang lebih baru cenderung
menghindari mekanisme IRC dan menggunakan saluran komunikasi rahasia melalui protokol
seperti HTTP. Mekanisme kontrol terdistribusi, menggunakan protokol peer-to-peer, juga
digunakan, untuk menghindari satu titik kegagalan. Awalnya server C&C ini menggunakan
alamat tetap, yang berarti mereka dapat ditemukan dan berpotensi diambil alih atau dihapus oleh
lembaga penegak hukum. Beberapa keluarga malware baru-baru ini telah menggunakan teknik
seperti pembuatan otomatis sejumlah besar nama domain server yang akan coba dihubungi oleh
malware tersebut. Jika satu nama server dikompromikan, penyerang dapat menyiapkan server
baru dengan nama lain yang mereka tahu akan diadili. Untuk mengalahkan ini diperlukan analis
keamanan untuk merekayasa balik algoritma pembuatan nama, dan kemudian mencoba untuk
mendapatkan kendali atas semua domain yang sangat besar yang mungkin ada. Teknik lain yang
digunakan untuk menyembunyikan server adalah fast-flux DNS, di mana alamat yang terkait
dengan nama server tertentu sering diubah, sering setiap beberapa menit, untuk memutar-mutar
sejumlah besar proxy server, biasanya anggota botnet lainnya. Pendekatan semacam itu
menghambat upaya oleh lembaga penegak hukum untuk menanggapi ancaman botnet. Setelah
jalur komunikasi dibuat antara modul kontrol dan bot, modul kontrol dapat mengelola bot.
Dalam bentuknya yang paling sederhana, kontrol

 modul hanya mengeluarkan perintah ke bot yang menyebabkan bot untuk menjalankan rutinitas
yang sudah diterapkan di bot. Untuk fleksibilitas yang lebih besar, modul kontrol dapat
mengeluarkan perintah pembaruan yang memerintahkan bot untuk mengunduh file dari beberapa
lokasi Internet dan menjalankannya. Bot dalam kasus terakhir ini menjadi alat tujuan yang lebih
umum yang dapat digunakan untuk beberapa serangan. Modul kontrol juga dapat mengumpulkan
informasi yang dikumpulkan oleh bot yang kemudian dapat dieksploitasi oleh penyerang.

2.11 payload—inforMaTion ThefT—keyloggers, phishing, spyware

Kami sekarang mempertimbangkan muatan di mana malware mengumpulkan data yang disimpan
pada sistem yang terinfeksi untuk digunakan oleh penyerang. Target umum adalah login dan kredensial
kata sandi pengguna ke situs perbankan, game, dan terkait, yang kemudian digunakan penyerang untuk
menyamar sebagai pengguna untuk mengakses situs-situs ini untuk mendapatkan keuntungan. Lebih
jarang, payload dapat menargetkan dokumen atau detail konfigurasi sistem untuk tujuan pengintaian atau
spionase. Serangan-serangan ini menargetkan kerahasiaan informasi ini.

Pencurian Credential, Keyloggers, dan Spyware

Biasanya, pengguna mengirimkan kredensial login dan kata sandi mereka ke perbankan, game, dan situs
terkait melalui saluran komunikasi terenkripsi (mis., HTTPS atau POP3S), yang melindungi mereka dari
penangkapan dengan memantau paket jaringan. Untuk memotong ini, penyerang dapat memasang
keylogger, yang menangkap penekanan tombol pada mesin yang terinfeksi untuk memungkinkan
penyerang memantau informasi sensitif ini. Karena ini akan mengakibatkan penyerang menerima salinan
semua teks yang dimasukkan pada mesin yang dikompromikan, keylogger biasanya menerapkan
beberapa bentuk mekanisme penyaringan yang hanya mengembalikan informasi yang dekat dengan kata
kunci yang diinginkan (mis., "Login" atau "kata sandi" atau"Paypal.com").

2.12 recoMMended reading

Untuk pemahaman menyeluruh tentang virus, buku yang harus dibaca adalah [SZOR05]. Perawatan luar
biasa lainnya adalah [AYCO06]. Artikel ikhtisar yang baik tentang virus dan worm adalah [CASS01],
[KEPH97a], dan [NACH97]. [MOOR02] memberikan perlakuan yang baik terhadap worm Code Red.
[WEAV03] menyediakan survei komprehensif tentang karakteristik cacing. [HYPP06] membahas
serangan cacing di ponsel. [HOLZ05] dan [MCLA04] memberikan ikhtisar bot. [LEVI06], [LEVI04],
[GEER06], dan [EMBL08] menjelaskan berbagai jenis rootkit dan operasinya. [SOUP13] memberikan
panduan tentang pencegahan dan penanganan malware.
 3 Bab III penutup
3.1 Kesimpulan
Asal Mula Malware

Malware dapat mendatangi komputer  melalui email dan internet biasanya berasal dari situs-situs
porno, atau mengunjungi URL/Link yang didapat dari hasil pencarian (search), P2P (peer to
peer) seperti instant messaging (chat) dimana anda dapat bertukar file dengan lawan bicara anda.
Efek Malware pada Komputer

Komputer yang terjangkit malware dapat bekerja sangat lambat termasuk proses booting ketika
pertama kali komputer dinyalakan. 

Cara Mengatasi Malware

Install program antimalware yang selalu di-update.

Jangan pernah membuka file yang berasal dari email yang tidak diketahui.

Jangan membuka file yang terkirim via email dengan ekstensi  .jpg, .avi, atau .exe dari pengirim
yang tak dikenal.

Jangan mendownload/membuka file attachment dari email yang tak dikenal.

Berhati-hati ketika berbelanja online pada situs yang mengharuskan mengisi sebuah form
pendaftaran.

Jangan men-download file dari situs yang menyertakan iklan pop-up pernyataan bahwa
komputer telah di scan dan bebas malware.

Scan komputer secara rutin dengan anti-virus yang ter-update.

Aktifkan Firewalls ketika anda melakukan koneksi internet.

Sebelum membuka folder atau sebelum membuka sebuah file (terutama dari USB flash disk),
biasakanlah untuk melakukan scan anti-virus/anti-spyware.
 4 Daftar pustaka
Cyberspaceyangmerisaukan. Mizan,AnggotaIKAPI:Jakarta. www.google.com,
internetuntukpendidikan. www.ilmukomputer.com, internet.

Zaleski Jeff, 1997. piritual Cyberspace : Bagaimana Teknologi Komputer

Keberagamankita. Mizan, AnggotaIKAPI:Jakarta.