Pengenalan dan Penanggulangan Virus,Trojan, & Worm BSI Margonda , 27 Mei 2016 Johan Bastari, M.Kom

Malcode ( Malicious Code ) “ Semua macam program , makro atau script yang dapat dieksekusi dan dibuat dengan tujuan untuk merusak system komputer. “

Kriteria Malcode Kemampuan untuk mendapatkan informasi Kemampuan untuk memeriksa suatu file Kemampuan untuk menggandakan diri dan menularkan diri Kemampuan melakukan manipulasi Kemampuan untuk menyembunyikan diri.

Kerusakan Malcode Sekedar tampil ( Show Off ) Menghentikan layanan / program Menghapus / merusak data / file / Software / hardware Mencuri data Slow System Take Control dll.

Virus berasal dari bahasa latin yaitu racun

“ Suatu program yang dapat menginfeksi program lain dengan cara mengkopikan bagian dirinya ke dalam program yang diinfeksi . “ ( Fred Cohen )

Elemen Virus Search Routine Copy Routine

Search Routine Bagian ini berfungsi untuk menemukan file atau lokasi baru yang akan dijadikan target berikutnya untuk diserang, menentukan bagaimana cara virus bereproduksi, dan apakah secara cepat atau lambat dapat menyerang sebagian atau seluruh bagian dari target.

Copy Routine Bagian ini berfungsi untuk meng-copy dirinya sendiri pada area yang telah ditentukan oleh search routine. Ukuran dari bagian ini bergantung pada kompleksitas dari virus yang di-copy

Siklus Hidup Virus Dormant Phase Trigerring Phase Propagation Phase Execution Phase

Dormant Phase Virus Phase Istirahat / Tidur Pada fase ini virus tidaklah aktif. Virus akan diaktifkan oleh suatu kondisi tertentu, semisal:tanggal yang ditentukan,kehadiran program lain/dieksekusinya program lain, dsb. Tidak semua virus melalui fase ini

Propagation PhaseVirus Phase penyebaran Pada fase ini virus akan mengkopikan dirinya kepada suatu program atau ke suatu tempat dari media storage (baik hardisk, ram dsb). Setiap program yang terinfeksi akan menjadi hasil “klonning” virus tersebut (tergantung cara virus tersebut menginfeksinya)

Trigerring Phase Virus Di fase ini virus tersebut akan aktif dan hal ini juga di picu oleh beberapa kondisi seperti pada Dormant phase

Execution Phase Virus Pada Fase inilah virus yang telah aktif tadi akan melakukan fungsinya. Seperti menghapus file, menampilkan pesan-pesan, dsb

Cara Kerja Virus

OverWriting Virus virus ini menjadi bagian dari program host dengan ‘menimpa’ (menggantikan) bagian awal dari program tersebut, sehingga program host tidak akan mengalami perubahan ukuran, namun mengalami kerusakan dan tidak dapat berfungsi sebagaimana mestinya.

Prepending Virus virus bereplikasi dengan menjadi bagian awal dari program host sehingga ketika program host dieksekusi, sebelum program host virus akan terlebih dahulu dieksekusi. Keberadaan virus tidak menyebabkan kerusakan fungsional pada program host namun akan memperbesar ukuran program host.

Appending Virus virus bereplikasi dengan menjadi bagian akhir dari program host tanpa merubah isi dari program host. Namun pada bagian awal program yang telah terinfeksi diberikan mekanisme agar ketika program dieksekusi, virus akan dieksekusi terlebih dahulu.

Jenis-Jenis Virus Virus Makro Virus Boot Virus Stealth Virus File Virus Polymorphic Virus Multipartition

Targetnya bukan executable program, tetapi file dokumen seperti Microsoft Excel atau Word.

File virus adalah virus yang menginfeksi executable program.

Virus yang mengecoh program antivirus dengan cara selalu merubah strukturnya setiap kali selesai menginfeksi file

Virus yang merubah atau mengganti boot sector/record partisi asli dengan program booting virus

Virus yang menguasai tabel interrupt pada DOS, dan berkemampuan untuk mengendalikan instruksi level DOS dan bersifat tersembunyi

Merupakan virus gabungan antara boot sector dan file

Penyebaran Virus

Istilah worm diambil dari bahasa inggris yang berarti cacing komputer

sebutan untuk sebuah program yang menyebarkan dirinya di dalam banyak komputer, dengan menggandakan dirinya dalam memori setiap komputer yang terinfeksi. Contoh worm: I-Worm/Happy99(Ska), I-Worm/ExploreZIP, I-Worm/PrettyPark, I-Worm/MyPics

Kerusakan Worm “ Efek dari worm pada sistem operasi akan membuat komputer terasa lambat karena dianggap komputer sedang melakukan aktivitas berat, juga pada sistem jaringan komputer maka akan terasa konektivitas jaringan lelet atau lambat karena worm bekerja memenuhi akses jaringan tersebut.”

Cara Kerja Worm Tidak memerlukan carrier / program bantuan Menggandakan diri / Copy diri Tidak menginfeksi, melainkan menetap pada memory

Dalam bahasa latin disebut dengan kuda troya / penyusup Trojan Dalam bahasa latin disebut dengan kuda troya / penyusup

program yang kelihatan seperti program yang valid atau normal, tetapi sebenarnya program tersebut membawa suatu kode dengan fungsi-fungsi yang sangat berbahaya bagi komputer.

Tidak Mereplikasi diri / copy diri Ciri-Ciri Trojan Bersifat Stealth Tidak Mereplikasi diri / copy diri

Cara Kerja Trojan Kode Stealth · Informasi Kartu Kredit. ·         Data akuntansi (email passwords, dial-up passwords dan webservices passwords). ·         E-mail Addresses. ·         Work Projects (dokumen pekerjaan). ·         Nama anak-anak dengan foto dan umurnya. ·         Dokumen sekolah. [RY] On AutoStarting

Dijalankan di system Microsoft Windows. Contoh Trojan DOS Trojan Horse : Trojan Horse yang berjalan di DOS. Ia mengurangi kecepatan komputer atau menghapus file-file pada hari atau situasi tertentu. Windows Trojan Horse : Dijalankan di system Microsoft Windows.

Denial of Services Trojan Horse 1. Smurf Attack! Jenis DoS yang di berikan namanya setelah program pelaku nya sendiri muncul. Tentu kebanyakan dari kita tahu apa itu Smurf, tokoh kartun yang memiliki karakteristik kecil, dengan warna badan kebiruan, dan senangnya berkelompok dalam mengerjakan banyak hal. Demikian pula jenis DoS ini diberi nama seperti itu. 2.       Buffer Overflow! Pada kasus ini, seorang penyerang melakukan pemanfaatan daripada keterabatasan sebuah aplikasi dalam menerima ukuran dari sebuah data. Dengan melakukan pengiriman packet atau data dengan ukuran yang sangat besar, kerapkali bisa membuat sebuah aplikasi mengalami Crash.

3.       Ping of Death Attack! Simple! Mengirimkan paket ICMP Echo yang melebihi kemampuan terima IP protocol yakni sebesar 65.536 bytes. Yang tentunya tidak akan bekerja pada IPv6. 4.       SYN Flood! Pada kasus ini, terjadilah pengiriman permintaan buka koneksi TCP pada FTP, Website, maupun banyak layanan lainnya. Namun SYN Packet nya itu sendiri telah di modifikasi oleh si penyerang, yang dimana SYN-ACK (Atau reply dari pada SYN Packet) dari sang server akan tertuju kepada komputer atau mesin yang tidak akan pernah membalas.

Windows Trojan Horse - Win-Trojan/sub seven - Trojan Horse (Symantec) - Win-Trojan/back orifice                            -  Wiza (Pc tools) - Win-Trojan/sub seven                               -  Trojan Horse (Symantec) - Win-Trojan/ecokys(korean)                       -  W32/alcop.aq@mm (McAfee) - Trojan win-32

Membutuhkan aksi dari manusia untuk menyebarkannya Virus Worm Trojan Membutuhkan aksi dari manusia untuk menyebarkannya Tidak membutuhkan interaksi dari manusia, lewat jaringan Membutuhkan interaksi dari manusia Dapat memproduksi dirinya sendiri Dapat mereplikasi dirinya dan menyebarkannya ke system lain Tidak dapat mereplikasi dirinya /menginfeksi system lainnya. Memperlambat performance komputer Menyadap alamat email, membuat jaringan tersumbat. Memudahkan hacker untuk masuk mengakses computer.

Program Anti Virus Program antivirus mampu mendeteksi virus dan mencegah akses ke dokumen yang terinfeksi dan juga mampu menghilangkan infeksi yang terjadi. On-access scanner  Selalu aktif dalam sistem komputer selama Anda menggunakannya. Otomatis memeriksa dokumen-dokumen yang di akses Mencegah menggunakan dokumen yang sudah terinfeksi. On-demand scanner  Membiarkan Anda yang akan memulai aktivitas pemindaian. Dapat dilakukan secara periodik dengan menggunakan jadwal.

Berbagai Macam Antivirus