Kuliah Pengaman Jaringan Pertemuan #15 Virus Kuliah Pengaman Jaringan

Definisi Kode jahat/perusak (malicious codes atau disingkat malcodes) didefinisikan sebagai semua macam program, makro atau script yang dapat diesekusi dan dibuat dengan tujuan untuk merusak sistem komputer. Bug yang dibuat secara tidak sengaja oleh programer, tidak termasuk dalam kategori ini. Tetapi untuk bug yang benar-benar mengganggu, banyak orang mengkategorikannya sebagai malcode.

Klasifikasi virus worm dan Trojan Horses Kode perusak dapat digolongkan dalam 3 macam golongan: virus worm dan Trojan Horses

VIRUS Virus memiliki kemampuan jahat untuk mereproduksi diri mereka sendiri dan terdiri dari kumpulan kode yang dapat memodifikasi target kode yang sedang berjalan, atau dapat pula memodifikasi struktur internal target kode, sehingga target kode sebelum berjalan dipaksa menjalankan virus. Virus sering menampilkan pesan yang tidak disukai, merusak tampilan display, menghapus memory C-MOS, dan merusak informasi dalam hard disk.

Contoh virus Brain Die hard Win95/CIH Hello I Love You  LoveLetter Blended Threats Blaster SQL Slammer Say Good Bye

Kategori virus Boot Virus : Jika komputer dinyalakan, sebuah inisial program di boot sector akan dijalankan. Virus yang berada di boot sector disebut boot virus. File Virus : Virus yang menginfeksi executable program. Dilaporkan bahwa hampir 80% virus adalah file virus. Multipartite Virus : Virus yang menginfeksi baik boot sector dan file. Macro Virus : Belakangan diketemukan. Targetnya bukan executable program, tetapi file dokument seperti Microsoft Excel atau Word. Ia akan memulai menginfeksi bila program aplikasi membaca dokumen yang berisi macro.

WORM Worm ditujukan kepada program yang mengkopi dirinya sendiri ke HANYA memory komputer. Perbedaan worm dengan virus : Virus menginfeksi target code Worm tidak hanya diam di memory. Worm pada awalnya diketemukan di large computer (1970-an), dan akhir- akhir ini diketemukan di komputer kecil seperti PC. Terutama sejak 1999, dimana work banyak beredar melalui media email.

Contoh worm Happy99(Ska) ExploreZIP PrettyPark MyPics Code Red  network Mass-Mailer  email Nimda  network SPAM  email

Trojan Horse Contoh Trojan Horse: Trojan Horse berbeda dengan virus, Trojan Horse tidak dapat memproduksi diri sendiri tetapi mereka dibawa oleh utility program lain. Utility program tersebut mengandung dirinya, atau Trojan Horse itu sendiri ber"lagak" sebagai utility program. Contoh Trojan Horse: Win-Trojan/Back Orifice, Win-Trojan/SubSeven, Win-Trojan/Ecokys(Korean)

Kategori Trojan Horse DOS Trojan Horse : Trojan Horse yang berjalan di DOS. Ia mengurangi kecepatan komputer atau menghapus file-file pada hari atau situasi tertentu. Windows Trojan Horse : Dijalankan di system Microsoft Windows. Jumlah Windows Trojan Horse meningkat sejak 1998 dan digunakan sebagai program untuk hacking dengan tujuan jahat yang dapat mengkoleksi informasi dari komputer yang tersambung internet.

Prosedur mengatasi virus (RFC 2196 ) Isolation of the systems Evaluation Virus incident identification Scope Notification Internal MNCert Law Enforcement Others Response Containment Eradication Recovery Follow-up Investigation Computer forensics Incident evaluation

Isolation of the systems Close all programs on the system desktop. If your system is connected to a LAN printer and print screen software is enabled, press PRINT SCREEN to capture the screen image. Disconnect the system from the network. DO NOT power the system down as most viruses execute their “payload” during the boot process. Post a “DO NOT USE” sign on each infected system. Evaluation

Evaluation Virus incident identification Identify the name and type of virus. a. known virus Viruses are normally first identified by virus protection software. follow these steps: Determine whether the virus is a “hoax” or a real threat by checking with the following WEB sites: http://www.kumite.com/myths/ http://ciac.llnl.gov/ciac/CIACHoaxes.html http://www.nai.com/ http://www.sophos.com/ http://www.symantec.com/avcenter/ .

Evaluation (cont.) b. unknown virus Very rarely a virus is not known or it is slightly different from a common virus. Some scanners detect such viruses. In such a case, your anti-virus software may indicate that your system has a "probable" virus.

Notification Your contact information Name: Telephone number: Physical location: Affected Machine(s) Hostname and IP: Source(s) of the Attack Hostname or IP:

Response Turn the PC's power off. Containment disconnected network left powered ON Eradication the anti-virus product knows the virus  disinfect it directly. the system does not have software to remove the virus directly. Turn the PC's power off. Insert a system diskette with an anti-virus product on it into the A: drive or use the Emergency Diskette that works with your virus protection software. Turn the PC's power on and boot the system from the diskette. Follow instructions from your anti-virus product. Remove the system or Emergency Diskette and reboot system. Re-run your anti-virus product.

Recovery Determine the source of the virus if possible, and notify the source of the infection if applicable. Determine if the virus was unknowingly sent to other parties, and notify those parties of the infection if applicable. Determine if the virus exists on any back-ups, and eradicate accordingly. Collect and destroy all media that may carry the virus infection. Check all systems in the immediate area to ensure they are free of infection. Once these steps are complete, issue an “all clear” message. Follow-up Perform a “postmortem” analysis. Complete the Incident Recovery report. Hold an incident debriefing meeting to close out the incident

Investigation Virus incidents differ from hacking incidents in that most do not go to court

Spyware Sebagai aplikasi yang diam-diam menjalankan tugas tertentu seperti menampilkan iklan, mengumpulkan informasi pribadi, dan mengubah konfigurasi komputer (Microsoft) Spyware memata-matai pengguna dan mengirim hasil pengamatannya itu ke komputer lain. Indikasi spyware : Kinerja komputer lambat Akses internet semakin berat Muncul banyak pop-up dalam jendela browser Sering crash

Spyware (cont.) Dapat masuk ke komputer pengguna jika download program gratisan atau mengakses website tertentu Misal : Cari crack Mengunjungi situs porno Disusupkan melalui celah yang terdapat pada aplikasi winamp. Akibatnya, PC korban akan mengirimkan IM tanpa sekehendak pemiliknya.

Firewall Untuk mencegah aliran data-data yang tidak diinginkan keluar-masuk komputer. Sangat berguna untuk mencegah penularan worm serta mendeteksi dan menghambat kerja spyware.

Resume Untuk mencegah/mengatasi malcodes (virus,worm,trojan horse, spyware, spam) dibutuhkan: Anti virus Antispyware Anti spam Firewall