JENIS KODE PERUSAK (VIRUS)
Virus: program yg dapat melewatkan kode perusak ke program
lainnya
– Virus transient vs resident
Trojan horse: kode perusak yang disisipkan ke kode lain
sehingga tidak efeknya tidak diketahui
Logic bomb: kode perusak yang diaktivasi jika kondisi
tertentu terjadi
Trapdoor/backdoor: akses terhadap program melalui jalur yang
tidak biasa (celah) pd program
Worm: program yg menyebarkan replikanya melalui jaringan
Virus komputer merupakan program komputer yang dapat
menggandakan atau menyalin dirinya sendiri dan menyebar dengan cara menyisipkan
salinan dirinya ke dalam program atau dokumen lain. Virus komputer dapat
dianalogikan dengan virus biologis yang menyebar dengan cara menyisipkan
dirinya sendiri ke sel makhluk hidup. Virus komputer dapat merusak (misalnya
dengan merusak data pada dokumen), membuat pengguna komputer merasa terganggu,
maupun tidak menimbulkan efek sama sekali.
Virus komputer umumnya dapat merusak perangkat lunak komputer dan tidak dapat
secara langsung merusak perangkat keras komputer (terutama pada sistem operasi
, seperti sistem operasi berbasis keluarga Windows (Windows 95, Windows
98/98SE, Windows NT, Windows NT Server, Windows 2000, Windows 2000 Server,
Windows 2003, Windows 2003 Server, Windows XP Home Edition, Windows XP
Professional, Windows XP Servicepack 1, Windows XP Servicepack 2) bahkan
GNU/Linux. Efek negatif virus komputer terutama adalah perbanyakan dirinya
sendiri, yang membuat sumber daya pada komputer (seperti CPU Time, penggunaan
memori) menjadi berkurang secara signifikan. Hampir 95% Virus adalah virus
komputer berbasis sistim operasi Windows. Sisanya, 2% menyerang Linux/GNU (dan
Unix, sebagai source dari Linux, tentunya), 1% menyerang Mac terutama Mac OS 9,
Mac OS X (Tiger, Leopard). 2% lagi menyerang sistim operasi lain seperti
FreeBSD, OS/2 IBM, dan Sun Operating System.
Serangan virus dapat dicegah atau ditanggulangi dengan menggunakan perangkat
lunak antivirus. Jenis perangkat lunak ini dapat juga mendeteksi dan menghapus
virus komputer, asalkan basis data virus komputer yang dimiliki oleh perangkat
lunak antivirus telah mengandung kode untuk menghapus virus tersebut.
Bagaimana Virus Menempel?
• Virus menjadi aktif jika diaktivasi melalui eksekusi
• Virus menempel pd program inangnya dgn cara: – Pada awal
program
• Virus dieksekusi sblm eksekusi instruksi program
• Sederhana, efektif
• Kebanyakan virus menggunakan cara ini – Pada awal dan
akhir program
• Memiliki kontrol sblm dan setelah eksekusi –
Terintegrasi dan menggantikan kode
• Mengganti keseluruhan target program
• Meniru atau meniadakan efek dari program target
Virus: Inang (1)
• Boot sector – Merupakan tempat yg paling cocok utk virus
• Virus memperoleh kontrol sblm tools utk deteksi virus
aktif
• Biasanya file di boot sector disembunyikan,
sehingga kehadiran virus tdk diketahui
Virus: Inang (2)
• Boot sector (Lanj.) – Selanjutnya, virus dpt menginfeksi
file standar OS, seperti (pd MS-DOS/PC):
• IO.SYS atau MSDOS.SYS
• Program yg diload oleh perintah pada AUTOEXEC.BAT
atau CONFIG.SYS
• Menambahkan entri ke AUTOEXEC.BAT atau CONFIG.SYS sehingga
virus dpt di-load
• Memory-Resident – Virus menempel pd routine-routine TSR
(Terminate and Stay Resident) – Menyenangkan bagi virus karena routine ini
sering diaktivasi
Virus: Inang (3)
• Program aplikasi – Contoh: memanfaatkan fasilitas makro
pada program pengolah kata dan spreadsheet
• Menempel pada makro yang ada, atau membuat makro sendiri
yang ditempelkan pada startup directive dari aplikasi – Menempel pada file data
untuk menyebarkan infeksinya ke pihak lain yang menerima file tsb
• Library
• Compiler, loader, linker, runtime monitor, runtime
debugger
Virus: Signature (1)
• Virus signature merupakan karakteristik virus Æ dpt
digunakan utk mendeteksi keberadaan virus
• Pola penyimpanan
– Semua bagiannya menempel pd awal program, atau menambahkan
instruksi JUMP pd awal program
– Menempel pd file sehingga ukuran file bertambah
Virus: Signature (2)
• Pola eksekusi
– Beberapa hal yg biasanya dilakukan virus:
• menempel ke program executable
• menempel ke file data atau file kontrol
• tetap berada di memori
• menyebarkan infeksi
• menghindari deteksi
• menimbulkan kerusakan
– Kerusakan yg bisa ditimbulkan, a.l:
• menampilkan gambar atau suara
• menghapus file atau keseluruhan disk
• mencegah komputer melakukan booting
• mencegah penulisan ke disk
Virus: Signature (3)
• Pola penyebaran
– melalui proses boot, file executable, atau file data – virus
menyebar selama eksekusi program yang terinfeksi
– tidak terbatas pada satu media
• Virus polimorfik
– yaitu suatu virus yang memiliki beberapa bentuk, lokasi,
atau penampakan – digunakan untuk menghindari deteksi
– Bisa menggunakan enkripsi dgn berbagai kunci
Virus: Pencegahan Infeksi
• Hanya menggunakan software komersil dari vendor yg
reliable dan mapan
• Menguji semua software baru pada komputer yg terisolasi
• Membuat bootable disket dan menyimpannya dgn aman
• Membuat dan menyimpan salinan backup dari file
system executable
• Menggunakan virus detektor/scanner secara regular
Virus: Contoh
• Brain Virus – Termasuk virus yg pertama dikembangkan
,Menginfeksi komputer IBM PC/MS-DOS ,Melakukan trap terhadap INT#19 (disk read)
dgn men-set vektor interrupt-nya menunjuk ke kode virus dgn tujuan untuk
screening penanganan disk , Berada pada boot sector dan 6 sektor lainnya ,Versi
awal tidak merusak, hanya menyebarkan infeksi. Namun variannya ada yg menghapus
isi disket, hard disk, atau FAT
Trapdoor
• Trapdoor merupakan pintu masuk rahasia ke suatu modul –
Biasanya digunakan pd saat pengembangan program
– Contoh: • Untuk pengujian suatu modul diperlukan routine
stub dan driver sederhana utk memasukkan input dan mengeluarkan hasil dari
routine yg diuji
Penyebab
• Trapdoor terdapat pada program yg telah diimplementasikan
karena beberapa hal:
– Lupa menghapusnya – Dibiarkan untuk tujuan pengujian, atau
pemeliharaan program
Trojan Horse
• Free program made available to unsuspecting user –
Actually contains code to do harm
• Place altered version of utility program on victim's
computer – trick user into running that program
TROJAN
Trojan adalah satu program “pemusnah” yang tidak dapat men-duplikasi dirinya
sendiri. Program ini dilihat seperti amat berguna tetapi sebenarnya tidak.
boleh dikatakan seperti “musuh dalam selimut”. Perkataan “Trojan” ini wujud
dari satu mitos dari Greek. Pada masa peperangan dengan pihak Troy (Trojan),
Greek telah meletak sebuah kuda kayu di luar pintu pagar kota Troy. Pihak Troy
beranggapan bahawa Greek telah memberikan hadiah sebagai tanda kekalahan. Dan
Troy membawa masuk kuda itu ke dalam kota mereka. Apabila malam menjelma,
tentera-tentera Greek yang telah bersembunyi di dalam kuda itu keluar dan
membuka pintu kota dan membolehkan tentera-tentera Greek masuk ke kota Troy dan
menawan kota itu. Situasi ini samalah dengan program Trojan ini. Di mana, ianya
nampak seperti amat berguna dan menarik. Tetapi kemusnahan yang dibawa adalah
lebih buruk. Anda boleh dijangkiti trojan apabila anda menerima atau
mendownload program-program dari Instant Messenging, warez, email attachment
dan lain-lain lagi. Untuk membuang program trojan ini amat mudah. Anda hanya
perlu mendelete program itu sendiri.
Penyebaran virus
Banyak orang awam yang beranggapan bahwa penyebaran virus disebabkan oleh
lingkungan yang tidak sehat [ lewat udara / kontak langsung antara komputer dan
anggota tubuh ], misalnya saja [ ini kisah nyata ], penulis pernah menemui
teman penulis, ia curhat bahwa komputernya terkena virus, lalu ia beranggapan
bahwa virus yang “dikandung” komputernya berasal dari kuman-kuman yang ada
ditangannya, saya hampir saja mau tertawa lepas, tetapi karena teman, saya
“terpaksa” hanya tersenyum.
Penyebaran virus, worm atau trojan memang disebabkan oleh kelalaian kita tetapi
bukan kotoran / kuman yang kita bawa, melainkan penyebaran virus dapat melalui
disket atau floppy disk bahkan bisa melalui jaringan [ LAN ].
Pencegahan + pengobatan ada disini
Anda bisa meminimalisir semua dampak yang diakibatkan oleh virus dan kawan –
kawannya itu, dengan cara sebagai berikut :
1.Sediakan Antivirus terpecaya. Jika memang data yang Anda miliki lebih penting
daripada dokumen rahasia milik Negara, maka kami menyarankan Anda 24 jam sehari
harus meng-update Antivirus.
2.Jangan pernah berganti – ganti pasangan, maksudnya Anda harus setia pada
pasangan Anda [ flashdisk ], karena media inilah yang sering dijadikan “sarang”
perpindahan oleh virus.
3.Baca doa dan tarik napas dalam – dalam [ hati – hati dan selektif maksud kami
], bila Anda menjumpai file yang Anda curigai pada komputer Anda dimana Anda
tidak merasa membuat file itu dan Anda tertarik untuk meng-“eksekusi” file itu
karena judulnya yang menarik, misalnya saja ada file atau dokumen yang namanya
“Mau tahu hp Citra Bunga Lestari ? “ , itu salah satu varian terbaru dari virus
[ terhitung bulan April 2007 ]
4.Buatlah data backup. Bila dirasa penting, usahakan data yang Anda simpan
tidak hanya pada satu komputer saja, kalau perlu “titipkan” pada komputer lain,
jadi sewaktu- waktu komputer Anda bermasalah, Anda masih mendapati data Anda.
Tips ini hanya boleh dilakukan jika Anda memiliki lebih dari satu komputer.
Lalu bagaimana yang tidak punya ? usahakan di “titipkan” pada orang yang paling
Anda percayai misalnya orang tua atau pacar.
5.Ada cara tradisional yang cukup ampuh, yaitu tampilkan “details” extention
dari masing document, misalnya saja untuk folder memiliki Type File Folder,
untuk document word biasanya memiliki Type Microsoft Word Document. Tetapi jika
Anda menjumpai Type “Application” untuk document word, maka bisa dipastikan itu
adalah sebuah virus dan satu lagi jangan pernah meng”klik” dokumen itu walaupun
dari luar memiliki judul yang bagus. Beberapa Extention yang harus wapasdai
yaitu. *.COM, *.EXE, *.VBS, *.SCR, *.VB
6.Jika semua hal tersebut sudah Anda lakukan , niscaya Anda akan terjauh dari
hal – hal ghaib, maksud kami gangguan yang tak diinginkan. Namun apabila
komputer Anda masih terkena “serangan ghaib”, cepat – cepat Anda mencari
vaksinnya, bila Anda masih bingung untuk mencari kemana, anda bisa mencarinya
di serch Engine dan kombinasikan kata-katanya seperti ini “Virus+Nama_Virus”,
misalnya “Virus+HP Citra Bunga Lestari” maka Anda akan menemukan beberapa
tutorial yang Anda maksudkan. Atau Anda bisa kunjungi Vaksin.com, portal made
in Indonesia ini biasanya menyediakan informasi terbaru tentang virus yang
bergentayangan, disini sediakan pula solusi untuk menghapus virus – virus itu.
Sekarang Anda sudah bisa membedakan apa itu Virus, Worm serta Trojan. Dan Anda
tidak perlu takut lagi untuk mengeksekusi sebuah file bahkan bila Anda sudah
terkena sebuah virus kini Anda sudah tahu apa yang harus Anda lakukan.
Jenis-jenis Trojan
Beberapa jenis Trojan yang beredar antara lain adalah:
Pencuri password: Jenis Trojan ini dapat mencari password
yang disimpan di dalam sistem operasi (/etc/passwd atau /etc/shadow dalam
keluarga sistem operasi UNIX atau berkas Security Account Manager (SAM) dalam
keluarga sistem operasi Windows NT) dan akan mengirimkannya kepada si penyerang
yang asli. Selain itu, jenis Trojan ini juga dapat menipu pengguna dengan
membuat tampilan seolah-olah dirinya adalah layar login (/sbin/login dalam
sistem operasi UNIX atau Winlogon.exe dalam sistem operasi Windows NT) serta
menunggu pengguna untuk memasukkan passwordnya dan mengirimkannya kepada
penyerang. Contoh dari jenis ini adalah Passfilt Trojan yang bertindak
seolah-olah dirinya adalah berkas Passfilt.dll yang aslinya digunakan untuk
menambah keamanan password dalam sistem operasi Windows NT, tapi disalahgunakan
menjadi sebuah program pencuri password.
Pencatat penekanan tombol (keystroke logger/keylogger):
Jenis Trojan ini akan memantau semua yang diketikkan oleh pengguna dan akan
mengirimkannya kepada penyerang. Jenis ini berbeda dengan spyware, meski dua
hal tersebut melakukan hal yang serupa (memata-matai pengguna).
Tool administrasi jarak jauh (Remote Administration
Tools/RAT): Jenis Trojan ini mengizinkan para penyerang untuk mengambil alih
kontrol secara penuh terhadap sistem dan melakukan apapun yang mereka mau dari
jarak jauh, seperti memformat hard disk, mencuri atau menghapus data dan
lain-lain. Contoh dari Trojan ini adalah Back Orifice, Back Orifice 2000, dan
SubSeven.
Ada lagi sebuah jenis Trojan yang mengimbuhkan dirinya
sendiri ke sebuah program untuk memodifikasi cara kerja program yang
diimbuhinya. Jenis Trojan ini disebut sebagai Trojan virus.
Cookies Stuffing, ini adalah script yang termasuk dalam
metode
blackhat,
gunanya untuk membajak tracking code penjualan suatu produk, sehingga komisi
penjualan diterima oleh pemasang cookies stuffing, bukan oleh orang yang
terlebih dahulu mereferensikan penjualan produk tersebut di intern
Pendeteksian dan Pembersihan
Memeriksa Listening Port
Mendeteksi keberadaan Trojan merupakan sebuah tindakan yang
agak sulit dilakukan. Cara termudah adalah dengan melihat port-port mana yang
terbuka dan sedang berada dalam keadaan "listening", dengan
menggunakan utilitas tertentu semacam Netstat. Hal ini dikarenakan banyak
Trojan berjalan sebagai sebuah layanan sistem, dan bekerja di latar belakang
(background), sehingga Trojan-Trojan tersebut dapat menerima perintah dari
penyerang dari jarak jauh. Ketika sebuah transmisi UDP atau TCP dilakukan, tapi
transmisi tersebut dari port (yang berada dalam keadaan "listening")
atau alamat yang tidak dikenali, maka hal tersebut bisa dijadikan pedoman bahwa
sistem yang bersangkutan telah terinfeksi oleh Trojan Horse.
Berikut ini adalah contoh penggunaan utilitas Netstat dalam
Windows XP Professional
C:\>netstat -a -b
Active Connections
Proto Local
Address Foreign
Address
State PID
TCP
windows-xp:epmap
0.0.0.0:0
LISTENING 956
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\svchost.exe
-- unknown component(s) --
[svchost.exe]
TCP windows-xp:microsoft-ds
0.0.0.0:0
LISTENING 4
[System]
TCP
windows-xp:50300
0.0.0.0:0
LISTENING 1908
[oodag.exe]
TCP
windows-xp:1025
0.0.0.0:0
LISTENING 496
[alg.exe]
TCP
windows-xp:1030
0.0.0.0:0
LISTENING 1252
[ccApp.exe]
UDP windows-xp:microsoft-ds
*:*
4
[System]
UDP
windows-xp:4500
*:*
724
[lsass.exe]
UDP
windows-xp:isakmp
*:*
724
[lsass.exe]
UDP windows-xp:1900
*:*
1192
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]
UDP
windows-xp:ntp
*:*
1036
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]
Logic Bomb
• Company programmer writes program – potential to do harm –
OK as long as he/she enters password daily – ff programmer fired, no password
and bomb explodes
Kontrol terhadap Ancaman: Pemrograman
Peer Review ,Modularitas, Enkapsulasi, dan Penyembunyian
informasi ,Pengujian independen ,Manajemen Konfigurasi ,Pembuktian kebenaran
program
Kontrol terhadap Ancaman: Process Improvement
Standar 2167A ,CMM (Capability Maturity Model) , ISO
9000
Kontrol terhadap Ancaman: OS
Trusted software , Mutual suspicion , Confinement ,
Access log
Kontrol terhadap Ancaman: Administratif
Standar pengembangan program ,Penerapan standar pengembangan
program ,Pemisahan tugas
Pastikan hal2 berikut ini:
