PERTEMUAN IX
PENGENALAN DAN PENANGGULANGAN VIRUS,TROJAN DAN WORM

Worms-pengenalan dan pencegahan

Worms komputer adalah aplikasi yang dapat menggandakan dirinya sendiri. Worm menggunakan jaringan untuk mengirin salinan-nya ke node lain (terminal komputer dalam jaringan) dan dapat melakukan hal tersebut tanpa campur tangan user sama sekali. Tidak seperti virus, worm tidak perlu menyusupkan dirinya ada aplikasi yang ada. Worm hamper dapat dipastikan menimbulkan kerusakan pada jaringan, meski hanya sekedar memakai bandwith yang ada, dimana virus hamper selalu merusak atau merubah file pada komputer target.

Nama dan sejarah

Penamaan worm berasal dari ‘The Shockwave Rider’, sebuah novel science fiction yang dipublikasikan pada tahun 1975 oleh John Brunner. Peneliti John F Shock dan Jon A Hupp dari EROX PARC memilih nama tersebut pada paper yang dipublikasikan pada tahun 1982; The Worm Programs, Comm ACM, 25(3):172-180, 1982), dan kemudian digunakan secara luas.

Implementasi worm pertama kali diaplikasikan oleh kedua peneliti tersebut di Zerox PARC pada tahun 1978. Shoch dan Hupp membuat worm untuk mengidentifikasi prosesor yang idle (tidak melakukan pekerjaan) pada jaringan dan memberikan tugas pada prosesor tersebut, membagi load pengerjaan proses, sehingga meningkatkan ‘efisiensi penggunaan CPU cycle’ pada jaringan. Worm tersebut memiliki batasan yang terprogram didalamnya, sehingga tidak akan menyebar ke are yang lebih luas dari yang ditentukan.

Payload

Banyak worm yang dibuat hanya memiliki fungsi penyebaran, dan tidak berusaha merubah system yang dilewatinya. Akan tetapi, sejak Morris Worm dan Mydoom muncul, lalu lintas jaringan dan efek yang tidak diinginkan lainnya dapat menimbulkan gangguan yang serius. Sebuah ‘payload’ istilah yang digunakna untuk menyebut kode yang dibawa oleh worm dan didesain untuk merusak system yang dilewati – kode itu muungkin menghapus file system (missal ExploreZip worm), melakukan enkripsi dalam serangan cryptoviral extortion, atau mengirim dokumen melalui email. Payload yang cukup umum digunakan adalah kode yang disipkan pada worm untuk melakukan instalasi ‘backdoor’ pada komputer yang terinfeksi yang membuat komputer terseut dapat menjadi ‘zombie’ dan diakses dengan bebas oleh pembuat worm – Sobig dan Mydoom adalah contoh worm yang menciptakan komputer zombie. Jaringan dari kompter zombie disebut juga botnet dan sering digunakan oleh pengirim spam untuk mengirimkan email sampah atau menyembunyikan alamat website mereka. Oleh karena itu, spammer sering ditengarai sebagai pendukung dana pembuat worm, dan tidak jarang pula pwmbuat worm menjual daftar IP komputer yang terinfeksi. Sedang yanglain mencoba mendapatkan uang dari perusahaan dengan ancaman serangan DoS (Denial of Service).

Backdoor dapat pula dieksploitasi oleh malware lain, termasuk worm. Sebagai contoh adlah Doomjuice, yang menyebar melalui backdoor yang dibuka oleh Mydoom, dan paling tidak ada satu malware yang menfaatkan rootkit dan backdoor yang terinstall oleh aplikasi DRM milik Sony/BMG yang ada pada cd music mereka hingga akhir 2005.

Worm dengan tujuan baik

Bermula dari penelitian pertama tentang worm di laboratorium XEROX PARC, telah muncul beberapa usaha untuk menciptakan worm yang berguna. Varian Nachi worm sebagai contoh, mencoba untuk mendownload dan melakukan instalasi patch dari website Microsoft untuk memperbaiki kelemahan pada system host yang ditempati – dengan memanfaatkan kelemahan tersebut untuk measuk ke dalam system, dan kemudian memperbaikinya dengan patch. Dalam prakteknya, meskipun langkah ini telah dibuat tidakberbahaya, tapi worm ini memakai lalu lintas jaringan, melakukan re-boot mesin pada saat patching, dan bekerja tanpa sepengetahan pengguna.

Mayoritas pakar keamanan menggangap worm sebagai malware, tanpa melihat payload atau tujuan pembuat.

Pencegahan

Worm menyebar dengan mengeksploitasi kelemahan system operasi. Semua vendor berusaha menyediakan update keamanan secara berkala, dan jika patch/update ini diinstall pada sebuah mesin, maka kecenderungan penyebaran worm pada mesin ini dapat ditangkal. Jika vendor mengetahui kelamahan pada system dan belum mengeluarkan update, bukan tidak mungkin ‘zero day exploit’ (eksploitais pada hari yang sama vendor mengumumkan kelemahan (bug)). Tapi hal tersebut jarang terjadi.

Pengguna perlu berhati-hati jika membuka e-mail yang tidak dikenal, dan dianjurkan untuk tidak menjalankan file atau program yang dikirimkan sebagai attachment, atau mengunjuingi halaman web yang disertakan dalam mail. Tapi, sejak kasus work ILOVEYOU, dan peningkatan pertumbuhan dan efisiensi serangan phising, masih cukup besar kemungkinan untuk menipu penggun amakin meningkat pula.

Aplikasi anti-virus dan anti-spyware cukup berguna untuk menagkal serangan worm, tetapi harus selalu di update dengan pola virus/worm baru tiap beberapa hari sekali. Penggunaan firewall juga dianjurkan. Berdasarkan pengalaman penulis, firewall cukup berguna ‘membentengi’ komputer dari serangan worm dengan menutup atau menolak intrusi worm.

Definisi

Apakah kalian pernah mendengar apa itu virus, tahukah kalian apa yang dimaksud virus. Virus yang lebih dikenal dalam istilah kedokteran atau arti virus sebagai “biological virusses” ini ternyata populer juga di dunia yang terdiri dari elektron ini. Hal ini terjadi dikarenakan kemiripan dalam mekanisme penyebarannya.

” A program that can infect other programs by modifying them to include a slighty altered copy of itself. A virus can spread throughout a computer system or network using the authorization of every user using it to infect their programs. Every programs that gets infected can also act as a virus that infection grows:: Fred Cohen”

Virus komputer bisa diartikan secara gamblang adalah suatu program komputer biasa. Tetapi memiliki perbedaan yang mendasar dengan program-program lainnya, yaitu dia dibuat untuk menulari program program lainnya, mengubah, memanipulasinya bahkan sampai merusaknya. Tetapi ada yang perlu dicatat disini, virus hanya akan menulari apabila program pemicu atau program yang telah terinfeksi tadi dieksekusi.

Sejarah Singkat

1949, John Von Neuman, menggungkapkan “teori self altering automata” yang merupakan hasil riset dari para ahli matematika.

1960, lab BELL (AT&T), para ahli di lab BELL (AT&T) mencoba-coba teori yang diungkapkan oleh John V Neuman, mereka bermain-main dengan teori tersebut untuk suatu jenis permainan/game. Para ahli tersebut membuat program yang dapat memperbanyak dirinya dan dapat menghancurkan program buatan lawan. Program yang mampu bertahan dan menghancurkan semua program lain, maka akan dianggap sebagai pemenangnya. Permainan ini akhirnya menjadi permainan favorit ditiap-tiap lab komputer. Semakin lama mereka pun sadar dan mulai mewaspadai permainan ini dikarenakan program yang diciptakan makin lama makin berbahaya, sehingga mereka melakukan pengawasan dan pengamanan yang ketat.

1980, program tersebut yang akhirnya dikenal dengan “virus” ini berhasil menyebar di luar lingkungan laboratorium, dan mulai beredar di dunia cyber.

1980, mulailah dikenal virus virus yang menyebar di dunia cyber.

Jenis-jenis Virus

Untuk lebih mempertajam pengetahuan kita tentang virus, berikut beberapa penjelasan tentang jenis –jenis virus yang sering berkeliaran di dunia maya.

1. Virus Makro

Virus ini ditulis dengan bahasa pemrograman dari suatu aplikasi bukan dengan bahasa pemrograman dari suatu Operating System. Virus ini dapat berjalan apabila aplikasi pembentuknya dapat berjalan dengan baik, maksudnya jika pada komputer mac dapat menjalankan aplikasi word maka virus ini bekerja pada komputer bersistem operasi Mac.
contoh virus:
- variant W97M, misal W97M.Panther panjang 1234 bytes,akanmenginfeksi NORMAL.DOT dan menginfeksi dokumen apabila dibuka.
- WM.Twno.A;TW :: 41984 bytes, akan menginfeksi Dokumen Ms.Word yang menggunakan bahasa makro, biasanya berekstensi *.DOT dan *.DOC

2. Virus Boot Sector

Virus Boot sector ini sudah umum sekali Virus ini dalam menggandakan dirinya akan memindahkan atau menggantikan boot sector asli dengan program booting virus. Sehingga saat terjadi booting maka virus akan di load kememori dan selanjutnya virus akan mempunyai kemampuan mengendalikan hardware standar(ex::monitor, printer dsb) dan dari memori ini pula virus akan menyebar keseluruh drive yang ada dan terhubung kekomputer (ex: floopy, drive lain selain c:\)
contoh virus :
- varian virus wyx (langganan gwa nih ex: wyx.C(B) menginfeksi boot record dan floopy ; panjang :520 bytes; karakteristik : memory resident dan terenkripsi)
- varian V-sign : menginfeksi : Master boot record ; panjang 520 bytes; karakteristik: menetap di memori (memory resident),terenkripsi, dan polymorphic)
- Stoned.june 4th/ bloody!: menginfeksi : Master boot record dan floopy; panjang 520 bytes; karakteristik: menetap di memori (memory resident), terenkripsi dan menampilkan pesan “Bloody!june 4th 1989″ stelah komputer melakukan booting sebanyak 128 kali)

3. Stealth Virus

Virus ini akan menguasai tabel tabel interupt pada DOS yang sering kita kenal dengan “Interrupt interceptor”. Virus ini berkemampuan untuk mengendaikan instruksi instruksi level DOS dan biasanya mereka tersembunyi sesuai namanya baik secara penuh ataupun ukurannya .
contoh virus:
- Yankee.XPEH.4928, menginfeksi file *.COM dan *.EXE ; panjang 4298 bytes; karakteristik: menetap di memori, ukuran tersembunyi, memiliki pemicu WXYC (yang termasuk kategori boot record pun karena masuk kategri stealth dimasukkan pula disini), menginfeksi floopy dan motherboot record; panjang 520 bytes;menetap di memori; ukuran dan virus tersembunyi.
- Vmem(s): menginfeksi file file *.EXE, *.SYS, dan *.COM ; panjang fie 3275 bytes; karakteristik:menetap di memori, ukuran tersembunyi, di enkripsi.

4. Polymorphic Virus

Virus ini dirancang untuk mengecoh program antivirus, artinya virus ini selalu berusaha agar tidak dikenali oleh antivirus dengan cara selalu mengubah strukturnya setiap kali selesai menginfeksi file/program lain.
contoh virus:
- Necropolis A/B, menginfeksi file *.EXE dan *.COM; panjang file 1963 bytes; karakteristik: menetap di memori, ukuran dan virus tesembunyi, terenkripsi dan dapat berubah ubah struktur
- Nightfall, menginfeksi file *.EXE; panjang file 4554 bytes; karakteristik: menetap di memori, ukuran dan virus tesembunyi,memiliki pemicu, terenkripsi dan dapat berubah ubah struktur

5. Virus File/Program

Virus ini menginfeksi file file yang dapat dieksekusi langsung dari sistem operasi, baik itu file application (*.EXE), maupun *.COm biasanya juga hasil infeksi dari virus ini dapat diketahui dengan berubahnya ukuran file yang diserangnya.

6. Multi Partition Virus

Virus ini merupakan gabungan dariVirus Boot sector dan Virus file: artinya pekerjaan yang dilakukan berakibat dua, yaitu dia dapat menginfeksi file file *.EXE dan juga menginfeksi Boot Sector.(diunduh dari EOF)

Definisi Virus

• Suatu program komputer yang dapat menyebar pada komputer atau jaringan dengan cara membuat copy dari dirinya sendiri tanpa sepengetahuan dari pengguna komputer tersebut.

Virus adalah kumpulan kode program yang memiliki kemampuan untuk mereproduksi diri sendiri dan terdiri dari kumpulan kode yang mampu memodifikasi target kode yang sedang dijalankan, dan atau dapat memodifikasi struktur internal target kode, sehingga target kode dipaksa menjalankan virus (autorun).

Virus sering menampilkan pesan sampah (junk message), merusak tampilan display, menghapus memory C-MOS, merusak informasi dalam hard disk dll. Dalam perkembanganya virus memiliki varian yang memiliki efek yang cukup serius pada sistem komputer

Berbagai macam cara agar virus ini dijalankan oleh korban
- Menempelkan dirinya pada suatu program yang lain.
- Ada juga virus yang jalan ketika Anda membuka suatu tipe file tertentu.
- Memanfaatkan celah keamanan yang ada pada computer (baik sistem operasi atau aplikasi).
- Suatu file yang sudah terinfeksi virus dalam attachment email.

Begitu file tersebut dijalankan, maka kode virus akan berjalan dan mulai menginfeksi komputer dan bisa menyebar pula ke semua file yang ada di jaringan komputer.
Bagaimana virus menginfeksi komputer?
Apa yang bisa dilakukan oleh virus?

• Memperlambat e-mail yaitu dengan membuat trafik e-mail yang sangat besar yang akan membuat server menjadi lambat atau bahkan menjadi crash. (So-Big)
• Mencuri data konfidental (Worm Bugbear-D:mampu merekam keystroke keyboard)
• Menggunakan komputer Anda untuk menyerang suatu situs (MyDoom)
• Merusak data (Virus Compatable)
• Menghapus data (Virus Sircam)
• Men-disable hardware (Virus CIH atau Chernobyl)
• Menimbulkan hal-hal yang aneh dan mengganggu Virus worm Netsky-D
• Menampilkan pesan tertentu (Virus Cone-F)
• Memposting dokumen dan nama Anda pada newsgroup yang berbau pornografi. (Virus PolyPost)

Trojan Horse
Adalah program yang kelihatan seperti program yang valid atau normal, tetapi sebenarnya program tersebut membawa suatu kode dengan fungsi-fungsi yang sangat berbahaya bagi komputer. Berbeda dengan virus, Trojan Horse tidak dapat memproduksi diri sendiri.
Trojan adalah kumpulan kode program yang diproduksi dengan tujuan jahat. Konsep yang digunakan seperti pada zaman romawi kuno (dan difilmkan di troy yang dibintangi brad pit sebagai archilles), sangat berbeda dengan virus dan worm, Trojan tidak mampu memproduksi diri sendiri. Biasanya, mereka “menunggangi” utility program lainnya. Utility program tersebut mengandung dirinya, atau Trojan itu sendiri ber”lagak” sebagai utility program.
Contoh Trojan Horse: Win-Trojan/Back Orifice, Win-Trojan/SubSeven

Trojan Horse masih dapat dibagi lagi menjadi:
• DOS Trojan Horse: Trojan Horse yang berjalan di DOS. Ia mengurangi kecepatan komputer atau menghapus file-file pada hari atau situasi tertentu.
• Windows Trojan Horse: Dijalankan di system Microsoft Windows. Jumlah Windows Trojan Horse meningkat sejak 1998 dan digunakan sebagai program untuk hacking

Worm
Worm adalah kumpulan kode program yang memiliki kemampuan untuk mengkopi dirinya sendiri ke HANYA memory komputer. Terus bedanya dengan virus apa? Sebenarnya perbedaan mendasar dari worm dan virus adalah, kemampuan untuk menginfeksi target code. Virus menginfeksi target code, tetapi worm tidak. Worm sekali lagi HANYA tinggal di memory. Worm dapat dengan cepat memperbanyak diri dan biasanya dilakukan pada media LAN atau Internet, resources jaringan yang terinfeksi akan habis bandwidthnya dibanjiri oleh worm yang akan mengakibatkan melambatnya aliran data

Perbedaan worm dan virus adalah Virus menginfeksi target code, tetapi worm tidak. Worm hanya menetap di memory. Contoh worm: I-Worm/Happy99(Ska), I-Worm/ExploreZIP, Sobig, Nimda, Code Red, Sircam.

Program anti-virus
Secara umum ada dua jenis program anti-virus yaitu on-access dan on-demand scanner.
1. On-access scanner akan selalu aktif dalam sistem computer selama user menggunakannya dan akan secara otomatis memeriksa file-file yang diakses dan dapat mencegah user untuk menggunakan file-file yang sudah terinfeksi oleh virus komputer.
2. On-demand scanner membiarkan user yang akan memulai aktivitas scanning terhadap file-file di komputer. Dapat diatur penggunaannya agar bisa dilakukan secara periodik dengan menggunakan schedule.

Beberapa Software Antivirus
• Norton Antivirus 2007
• McAfee VirusScan Plus 2007
• PC Tools Antivirus
• Windows Live OneCare
• F-Prot Antivirus
• Kapersky
• AVG Antivirus

Mencegah virus
• Membuat orang paham terhadap risiko virus
• Install program anti-virus dan update-lah secara reguler
• Selalu gunakan software patch untuk menutup lubang security
• Gunakan firewall
• Selalu backup secara reguler data.

Ada beberapa langkah prefentif untuk mencegah virus, worm, dan trojan masuk ke dalam sistem komputer anda, berikut beberapa langkah tersebut:
1. Install software Anti Virus pada sistem komputer.
Sebagai perlindungan di garis depan, penggunaan anti virus adalah wajib. Ada banyak anti virus yang beredar di pasaran saat ini. Beberapa yang cukup handal diantaranya adalah
McAfree VirusScan (www.mcafee.com), Norton Anti Virus (www.symantec.com), PC-MAV, AVG, Kepersky.

2. Sering-seringlah melakukan Update database program anti virus.
Ratusan virus baru muncul setiap bulannya. Usahakan untuk selalu meng-update database dari program anti virus yang anda gunakan. Database terbaru dapat dilihat pada website perusahaan pembuat program anti virus yang anda gunakan.

3. Jangan ragu untuk menggunakan Firewall Personal.
Menggunakan firewall akan menyebabkan akses yang keluar masuk ke sistem komputer kita dapat diatur, kita dapat melakukan otentifikasi terhadap paket data, apakah paket tersebut disetujui atau ditolak.

4. Paranoid lah terhadap file-file baru yang akan anda buka.
Misalnya seperti file dibawah ini…
scanning terlebih dahulu dengan anti virus sebelum menjalankan sebuah file yang
didapat dari mendownload di internet atau mengkopi dari orang lain. Apabila anda biasa
menggunakan sarana e-mail, berhati-hatilah setiap menerima dalam bentuk
file executable. Waspadai file-file yang berekstensi Jangan terkecoh untuk langsung membukanya sebelum melakukan scanning dengan software anti virus.
File diatas adalah hasil perubahan pada file setelah terkena virus Brain.

5. Sering-seringlah memeriksa kondisi sistem komputer anda.
Jika tiba-tiba performa sistem menurun secara drastis, khususnya saat melakukan operasi pembacaan/penulisan file pada disk, serta munculnya masalah pada software saat dioperasikan bisa jadi merupakan indikasi bahwa sistem telah terinfeksi oleh virus.

6. Lakukan Back Up data secara berkala.
Langkah ini mungkin tidak akan bisa menyelamatkan data anda dari ancaman virus, namun akan berguna apabila suatu saat virus betul-betul menyerang dan merusak data pada sistem komputer yang anda gunakan. Sebagai langkah prefentif, maka anda tidak akan kehilangan seluruh data yang telah anda backup ketika virus merusak seluruh file pada sistem komputer anda.

Perbedaan virus, worm, dan trojan horse
1. Virus Komputer : merujuk pada program yang memiliki kemampuan untuk ber-produksi, menulari program lain dan menjadikan file-file program tertular sebagai file infector.
2. Worm Komputer : merujuk pada program independen yang memiliki kemampuan untuk ber-reproduksi, menulari system komputer dan walaupun mampu untuk menulari program lain namun tidak bertujuan untuk menjadikan file tertular tersebut sebagai suatu file infector.
3. Trojan Horse : merujuk pada program independen yang tampaknya berguna, dan ketika di eksekusi, tanpa sepengetahuan pengguna, juga melaksanakan fungsi-fungsi yang bersifat destruktif dan merugikan.
Meski Virus, Worm, Trojan Horse mempunyai perbedaan tersendiri tetapi mereka adalah tetap merugikan pemakai komputer. Selalu update definition antivirus anda, jangan sembarang download file yang tidak diketahui sumbernya, jangan pernah mengunjungi situs yang berbaur porno dan jangan pernah mencolokkan flashdisk dari luar/orang lain.