Kata pengantar

Pertama-tama penulis panjatkan puji syukur kehadiran Allah SWT yang telah

memberikan kesehatan dan kesempatan untuk dapat menyelesaikan tugas makalahnya ini.

Dalam makalah kali ini penulis membahas tentang Pengertian dan Cara Kerja

Virus dan Antivirus. Dimana di dalamnya terdapat berbagai pembahasan mengenai

Pengetian virus Trojan, Cara Kerja virus Trojan, Cara keja Virus Worm serta Cara Kerja

Antivirus.

Dalam kesempatan kali ini tidak lupa juga penulis mengucapkan banyak terima

kasih kepada orang-orang yang secara langsung maupun tidak langsung telah membantu

penulis dalam menyelesaikan tugas makalah matematikanya ini. Seperti dosen Keamanan

Data Dan Jaringan yang telah membimbing penulis. Orang tua yang telah memberikan

dukungan, dan orang-orang yang tidak dapat disebut namanya satu persatu.

Di dalam makalah ini mungkin terdapat banyak kesalahan.maka dari itu penulis

mengaharapkan kritik dan saran dari pembaca agar dapat diperbaiki di kemudian hari.

PENULIS

KELOMPOK 2

1

PENGERTIAN UMUM TROJAN

Istilah Trojan Horse (Kuda Troya) berasal dari mitologi Yunani pada saat perang

Troya. Dalam peperangan tersebut pasukan Yunani melawan pasukan kerajaan Troya.

Pasukan Yunani telah mengepung kota Troya selama sepuluh tahun, namun karena pasukan

kerajaan Troya cukup tangguh, maka pasukan Yunani sulit mengalahkannya. Akhirnya,

pasukan Yunani membuat strategi yaitu dengan membuat sebuah kuda raksasa yang terbuat

dari kayu. Kuda dari kayu ini cukup unik, di dalamnya berongga sehingga dapat diisi pasukan

Yunani. Pasukan Yunani pura-pura mundur dan sambil memberikan hadiah kuda kayu

raksasa tersebut. Dengan bantuan seorang spionase Yunani yang bernama Sinon, penduduk

kota Troya berhasil diyakinkan untuk menerima kuda kayu raksasa itu dan memasukkannya

ke dalam kota. Pada malam harinya, pasukan Yunani yang berada di dalam kuda kayu keluar,

kemudian membuka gerbang dan kota Troya diserang. Dengan cara tersebut kota Troya dapat

dikuasai oleh Yunani.

Kisah epik di atas telah mengilhami para hacker untuk menciptakan “penyusup” ke

komputer orang lain yang disebut dengan Trojan Horse. Trojan pada saat ini berkaitan

dengan masalah keamanan komputer yang cukup serius. Trojan dapat masuk ke komputer

dengan melalui beberapa cara dan dari berbagai sumber yang kurang dapat dipercaya di

Internet atau dari orang lain .

Trojan di dalam sistem komputer adalah suatu program yang tidak diharapkan dan

disisipkan tanpa sepengetahuan pemilik komputer. Program ini kemudian dapat diaktifkan

dan dikendalikan dari jarak jauh, atau dengan menggunakan timer (pewaktu). Akibatnya,

komputer yang disisipi Trojan Horse tersebut dapat dikendalikan dari jarak jauh.

Definisi lain mengatakan bahwa Trojan adalah program apapun yang digunakan

untuk melaksanakan suatu fungsi penting dan diharapkan oleh pemakai, namun kode dan

fungsi di dalamnya tidak dikenal oleh pemakai. Selanjutnya program melaksanakan fungsi

tak dikenal dan dikendalikan dari jarak jauh yang tidak dikehendaki oleh pemakai.

Fungsi Trojan

Trojan bersembunyi di latar belakang dengan cara membuka port tertentu dan

menunggu diaktifkan oleh penyerang. Komputer yang telah terinfeksi dapat dikendalikan

oleh penyerang melalui versi client-nya.

Cara kerja Trojan mirip dengan remote administration tool, dengan sifat dan fungsi yang

sama. Program remote administration misalnya pcAnywhere, digunakan untuk keperluan

yang benar dan sah (legitimate), sedangkan Trojam digunakan untuk keperluan yang negatif .

Jika sebuah komputer terinfeksi oleh Trojan dan telah dikendalikan oleh penyerangnya,

maka beberapa kemungkinan dapat terjadi. Sebagai contoh, sebuah Trojan dengan nama

NetBus dapat melakukan banyak hal ke komputer yang telah dikendalikan antara lain :

• menghapus file,

• mengirim dan mengambil file,

2

• menjalankan program-program aplikasi,

• menampilkan gambar,

• mengintip program-program yang sedang dijalankan,

• menutup program-program yang dijalankan,

• melihat apa saja yang sedang diketik,

• membuka dan menutup CD-ROM drive,

• mengirim pesan dan mengajak untuk bicara (chat),

• mematikan komputer.

Contoh di atas adalah hanya sebagian yang dapat dikerjakan oleh sebuah Trojan. Trojan

lain kemungkinan mempunyai fungsi yang berbeda bahkan mungkin lebih berbahaya dan

lebih susah dideteksi.

Gambar 2.1 Penyusupan Trojan dalam Belanja Online [6]

Cara Kerja Trojan

Trojan masuk melalui dua bagian, yaitu bagian client dan server. Ketika korban (tanpa

diketahui) menjalankan komputer, kemudian penyerang akan menggunakan client untuk

koneksi dengan server dan mulai menggunakan trojan. Protokol TCP/IP adalah jenis protokol

yang umum digunakan untuk komunikasi. Trojan dapat bekerja dengan baik dengan jenis

protokol ini, tetapi beberapa trojan juga dapat menggunakan protokol UDP dengan baik.

Ketika server mulai dijalankan (pada komputer korban), Trojan umumnya mencoba untuk

menyembunyikan diri di suatu tempat dalam sistem komputer tersebut, kemudian mulai

3

“mendengarkan” di beberapa port untuk melakukan koneksi, memodifikasi registry dan atau

menggunakan metode lain yaitu metode autostarting.

Hal yang penting untuk diketahui oleh penyerang adalah mengetahui IP address korban

untuk menghubungkan komputernya ke komputer korban. Banyak varian Trojan mempunyai

kemampuan mengirimkan IP address korban ke penyerangnya, misalnya media ICQ maupun

IRC. Hal ini digunakan bagi korban yang mempunyai IP address dinamis, yang berarti setiap

kali menghubungkan ke Internet didapatkan IP address yang berbeda. Untuk pemakai yang

memanfaatkan Asymmetric Digital Suscriber Line (ADSL) berarti selalu memakai IP

address yang tetap (statis) sehingga mudah diketahui dan mudah untuk dikoneksikan dengan

komputer penyerang.

Sebagian besar Trojan menggunakan metode auto-starting, yaitu Trojan akan secara

otomatis aktif saat komputer dihidupkan. Walaupun komputer dimatikan dan kemudian

dihidupkan lagi, Trojan mampu bekerja kembali dan penyerang mengakses kembali ke

komputer korban.

Metode baru auto-starting dan trik lain telah ditemukan sejak semula. Jenis Trojan ini

bekerja mulai dari koneksi trojan ke dalam beberapa file executable yang sering digunakan

misalnya explorer.exe dan kemudian memodifikasi file sistem atau Windows Registry. File

sistem ditempatkan di direktori Windows. Dari direktori ini penyerang melaksanakan

penyerangan atau penyalahgunaan. Penyalahgunaan penyerang melewati file sistem adalah

sebagai berikut.

• Autostart Folder.

Autostart folder berada di lokasi C:\Windows\Start Menu\Programs\Startup dan

sesuai dengan namanya akan bekerja secara otomatis bagia file sistem yang

ditempatkan di folder tersebut.

• Win.Ini.

File sistem Windows menggunakan load=trojan.exe dan run=trojan.exe untuk

menjalankan Trojan.

• System.Ini.

Menggunakan shell=explorer.exe trojan.exe. Hal ini diakibatkan oleh eksekusi setiap

file setelah menjalankan explorer.exe.

• Wininit.Ini.

Sebagian besar setup program menggunakan file ini. Sekali dijalankan maka menjadi

auto-delete, akibatnya Trojan sangat cekatan atau cepat untuk bekerja kembali.

• Winstart.Bat.

Bertindak seperti batch file yang normal, ketika ditambahkan@ trojan.exe mampu

menyembunyikan korbannya.

• Autoexec.Bat.

Autoexec.Bat adalah file auto-starting Disk Operating System (DOS). File tersebut

digunakan sebagai metode auto-starting, yaitu dengan memasang c:\trojan.exe.

• Config.Sys.

4

Config.Sys juga dapat digunakan sebagai suatu metode auto-starting untuk Trojan.

• Explorer Startup.

Explorer Startup adalah suatu metode auto-starting untuk Windows95, 98, ME dan

jika c:\explorer.exe ada, hal itu akan dimulai maka akan menggantikan yang

umum, yaitu c:\Windows\Explorer.exe.

Registry sering digunakan dalam berbagai metode auto-starting. Registry sebagai jalan untuk

auto-starting yang diketahui antara lain: [7]

• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\Run]

"Info"="c:\directory\Trojan.exe"

• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunOnce]

"Info"="c:\directory\Trojan.exe"

• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServices]

"Info"="c:\directory\Trojan.exe"

• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServicesOnce]

"Info="c:\directory\Trojan.exe"

• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Run]

"Info"="c:\directory\Trojan.exe"

• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\RunOnce]

"Info"="c:\directory\Trojan.exe"

• Registry Shell Open

[HKEY_CLASSES_ROOT\exefile\shell\open\command]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open

\command]

Suatu kunci dengan nilai "% 1%*" harus ditempatkan disana dan jika terdapat

beberapa file yang executable. Setiap kali file dieksekusi maka akan membuka suatu

binary file. Jika di registry ini terdapat trojan.exe "% 1%*", maka akan digunakan

sebagai auto-starting untuk Trojan.

• Metode Deteksi ICQ Net

[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\]

Kunci dari metode ini adalah semua file akan dieksekusi jika ICQ mendeteksi

koneksi Internet. Perlu diketahui, bahwa cara kerja dari ICQ adalah sangat mudah

5

dan sering digunakan pemakai, sehingga ICQ dimanfaatkan oleh penyerang

medianya.

• ActiveX Component

[HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup

\Installed Components\KeyName]

StubPath=C:\directory\Trojan.exe

Jenis jenis Trojan

Trojan seperti halnya virus, mempunyai jumlah yang cukup banyak dan berkembang

seiring dengan berjalannya waktu. Terdapat kurang lebih 650 buah Trojan yang telah beredar

saat ini . Pendapat lain mengatakan bahwa di tahun 2002 sudah terdapat sekitar 800 buah

Trojan. Jumlah tersebut adalah jumlah yang diketahui atau terdeteksi keberadaannya,

sedangkan yang tidak terdeteksi tidak diketahui jumlahnya.

Dari berbagai macam Trojan yang telah beredar dan menginfeksi pemakai Internet,

dapat diklasifikasikan berdasarkan ciri-cirinya. Menurut Dancho Danchev (2004), Trojan

dapat diklasifikasikan menjadi delapan jenis, antara lain sebagai berikut.

1. Trojan Remote Access

Trojan Remote Access termasuk Trojan paling populer saat ini. Prosesnya adalah menunggu

seseorang menjalankan Trojan yang berfungsi sebagai server dan jika penyerang telah

memiliki IP address korban, maka penyerang dapat mengendalikan secara penuh komputer

korban. Contoh jenis Trojan ini adalah Back Orifice (BO), yang terdiri dari BOSERVE.EXE

yang dijalankan dikomputer korban dan BOGUI.EXE yang dijalankan oleh penyerang untuk

mengakses komputer korban.

2. Trojan Pengirim Password

Tujuan dari Trojan jenis ini adalah mengirimkan password yang berada di komputer korban

atau di Internet ke suatu e-mail khusus yang telah disiapkan. Contoh password yang disadap

misalnya untuk ICQ, IRC, FTP, HTTP atau aplikasi lain yang memerlukan seorang pemakai

untuk masuk suatu login dan password. Kebanyakan Trojan ini menggunakan port 25 untuk

mengirimkan e-mail. Jenis ini sangat berbahaya jika dalam komputer terdapat password yang

sangat penting.

3. Trojan File Transfer Protocol (FTP)

Trojan FTP adalah paling sederhana dan dianggap ketinggalan jaman. Satu-satunya fungsi

yang dijalankan adalah membuka port 21 di komputer korban yang menyebabkan

6

mempermudah seseorang memiliki FTP client untuk memasuki komputer korban tanpa

password serta melakukan download atau upload file.

4. Keyloggers

Keyloggers termasuk dalam jenis Trojan yang sederhana, dengan fungsi merekam atau

mencatat ketukan tombol saat korban melakukan pengetikan dan menyimpannya dalam

logfile. Apabila diantara ketukan tersebut adalah mengisi user name dan password, maka

keduanya dapat diperoleh penyerang dengan membaca logfile. Trojan ini dapat dijalankan

pada saat komputer online maupun offline.

5. Trojan Penghancur

Satu-satunya fungsi dari jenis ini adalah untuk menghancurkan dan menghapus file. Trojan

penghancur termasuk jenis yang sederhana dan mudah digunakan, namun sangat berbahaya.

Sekali terinfeksi dan tidak dapat melakukan penyelamatan maka sebagian atau bahkan semua

file sistem akan hilang. Trojan ini secara otomatis menghapus semua file sistem pada

komputer korban (sebagai contoh : *.dll, *.ini atau *.exe). Trojan diaktifkan oleh penyerang

atau bekerja seperti sebuah logic bomb dan mulai bekerja dengan waktu yang ditentukan oleh

penyerang.

6. Trojan Denial of Service (DoS) Attack

Trojan DoS Attack saat ini termasuk yang sangat populer. Trojan ini mempunyai kemampuan

untuk menjalankan Distributed DoS (DDoS) jika mempunyai korban yang cukup. Gagasan

utamanya adalah bahwa jika penyerang mempunyai 200 korban pemakai ADSL yang telah

terinfeksi, kemudian mulai menyerang korban secara serempak. Hasilnya adalah lalu lintas

data yang sangat padat karena permintaan yang bertubi-tubi dan melebihi kapasitas band

width korban. Hal tersebut menyebabkan akses Internet menjadi tertutup. Wintrinoo adalah

suatu tool DDoS yang populer baru-baru ini, dan jika penyerang telah menginfeksi pemakai

ADSL, maka beberapa situs utama Internet akan collaps. Variasi yang lain dari sebuah trojan

DoS adalah trojan mail-bomb, tujuan utamanya adalah untuk menginfeksi sebanyak mungkin

komputer dan melakukan penyerangan secara serempak ke alamat e-mail yang spesifik

maupun alamat lain yang spesifik dengan target yang acak dan muatan/isi yang tidak dapat

disaring.

7. Trojan Proxy/Wingate

Bentuk dan corak yang menarik diterapkan oleh pembuat trojan untuk mengelabui korban

dengan memanfaatkan suatu Proxy/Wingate server yang disediakan untuk seluruh dunia atau

hanya untuk penyerang saja. Trojan Proxy/Wingate digunakan pada Telnet yang tanpa nama,

ICQ, IRC, dan untuk mendaftarkan domain dengan nomor kartu kredit yang telah dicuri serta

7

untuk aktivitas lain yang tidak sah. Trojan ini melengkapi penyerang dengan keadaan tanpa

nama dan memberikan kesempatan untuk berbuat segalanya terhadap komputer korban dan

jejak yang tidak dapat ditelusuri.

8. Software Detection Killers

Beberapa Trojan telah dilengkapi dengan kemampuan melumpuhkan fungsi software

pendeteksi, tetapi ada juga program yang berdiri sendiri dengan fungsi yang sama. Contoh

software pendeteksi yang dapat dilumpuhkan fungsinya adalah Zone Alarm, Norton Anti-

Virus dan program anti-virus/firewall yang lain berfungsi melindungi komputer. Ketika

software pendeteksi dilumpuhkan, penyerang akan mempunyai akses penuh ke komputer

korban, melaksanakan beberapa aktivitas yang tidak sah, menggunakan komputer korban

untuk menyerang komputer yang lain.

Worm (Cacing)

8

Worm adalah sebuah program komputer salah satu malware. Program ini berbahaya yang

dapat menyalinan sendiri berulang-ulang, pada drive lokal, jaringan, email, atau Internet.

Program ini menggunakan jaringan komputer untuk mengirimkan salinan dirinya ke node

lainnya (komputer pada jaringan) dan dapat menginfeksi tanpa sepengetahuan pengguna. 

tujuan utama Worm adalah untuk mereproduksi, tidak seperti virus yang mencoba untuk

menginfeksi, tapi menyalin kode embed ke dalam, file lainnya. Hal ini disebabkan oleh

kelemahan keamanan pada komputer target. Worm tidak menginfeksi file atau

memodifikasi file melainkan menimbulkan kerugian pada jaringan karena worm akan

mengkonsumsi bandwith jaringan, sehingga mengakibatkan speed Internet lambat.

Jenis worm yang paling umum adalah worm email. Sesuai dengan jenisnya, worm email

tidak menulari file lainnya seperti halnya virus tetapi mereka hanya membuat salinan

dirinya berulang-ulang. worm email melakukan ini melalui email, dengan mengirimkan

diri ke alamat email yang ditemukan pada sistem pengguna yang terinfeksi.

Email worm bisa menyebar secara global dalam beberapa saat dengan menggunakan

taktik sederhana. Bayangkan bila email seorang yang terinfeksi dan memiliki dua puluh

alamat email yang ditemukan pada sistem-nya. Maka worm akan mengirim salinan

dirinya ke alamat tersebut. Jika salah satu email penerima terinfeksi, mereka juga tidak

sadar akan menyebarkan salinan worm kepada teman-teman, kolega, dan rekan bisnis

yang alamat email terdapat pada email mereka.

Worms dengan maksud baik

Awalnya dengan penelitian worm pertama di Xerox PARC, telah ada upaya untuk

menciptakan worm yang berguna. Keluarga Worm Nachi, misalnya, mencoba untuk

men-download dan menginstal patch dari website Microsoft untuk memperbaiki

kelemahan-kelemahan dalam sistem host-dengan memanfaatkan kerentanan mereka.

Dalam prakteknya, meskipun ini mungkin telah membuat sistem tersebut lebih aman, tapi

menciptakan lalu lintas jaringan yang cukup besar, reboot mesin dalam patch, dan

melakukan pekerjaan tanpa persetujuan pemilik atau pengguna komputer.

Beberapa worm, seperti worm XSS, diciptakan untuk penelitian menentukan faktor-

faktor bagaimana worm menyebar, seperti kegiatan sosial dan perubahan perilaku

pengguna, sementara worm lainnya merupakan lelucon, seperti salah satu yang mengirim

gambar populer makro burung hantu dengan frase “O RLY?” ke antrian cetak dalam

komputer yang terinfeksi.

Kebanyakan ahli keamanan menganggap semua worm sebagai malware, apa pun tujuan

mereka atau niat pencipta mereka.

Melindungi komputer terhadap worm yang berbahaya

9

Pengguna perlu berhati-hati membuka email tak dikenal, dan tidak boleh menjalankan

file lampiran atau program, atau kunjungi situs web yang terkait dengan email tersebut.

Namun, seperti worm ILOVEYOU, dan dengan peningkatan pertumbuhan dan efisiensi

serangan phishing, masih mungkin untuk mengelabui pengguna akhir dengan

menjalankan kode berbahaya.

Tidak ada cara yang cepat dan mudah untuk memperbaiki masalah worm email.

Pertahanan terbaik terhadap worm e-mail ini membuat lampiran email, menjaga sistem

anda, mengamankan klien email Anda, dan memastikan perangkat lunak antivirus Anda

selalu up to date dan mengaktifkan sistem firewall.

Beberapa contoh dari worm adalah sebagai berikut:

ADMw0rm: Worm yang dapat melakukan ekspolitasi terhadap layanan jaringan

Berkeley Internet Name Domain (BIND), dengan melakukan buffer-overflow.

Code Red: Worm yang dapat melakukan eksploitasi terhadap layanan Internet

Information Services (IIS) versi 4 dan versi 5, dengan melakukan serangan buffer-

overflow.

LoveLetter: Worm yang menyebar dengan cara mengirimkan dirinya melalui e-

mail kepada semua akun yang terdaftar dalam Address Book Microsoft Outlook

Express/daftar kontak dalam Microsoft Outlook dengan cara menggunakan kode

Visual Basic Script (VBScript).

Nimda

SQL-Slammer

CARA KERJA WORM

Mencari Korban Baru

Kalau di analogi sebelumnya, istilah korban ini sebenarnya adalah

menggambarkan saluran baru atau saluran lain (mungkin bayangkan saja sebagai saluran

air punya tetangga baru Anda yang baru pindah dari Ajibarang ke perumahan Anda dan

baru pasang pipa paralon untuk nyambungin air PDAM), dimana saluran tersebut secara

tidak langsung juga nyambung dengan pipa yang menuju ke kamar mandi Anda sudah

terisi banyak cacing.

Saluran baru atau saluran lain milik tetangga baru inilah yang akan dimasukin

cacing dari pipa paralon Anda. Kasihan juga yach! Tapi ini kan terjadi secara otomatis,

tanpa campur tangan kita kan! Nah kemudian secara tidak langsung, jika saluran tetangga

baru Anda sudah ter-“infeksi” cacing-cacing dari saluran air milik Anda maka secara

10

otomatis saluran air tetangga Anda juga akan jadi sumber pembawa cacing-cacing bagi

saluran-saluran baru lainnya yang belum ter”infeksi” (oleh cacing). Begitu seterusnya

sampai satu RT, satu RW, satu kelurahan bahkan mungkin satu kecamatan saluran airnya

tersumbat oelh banyak cacing.

Sama halnya dengan cacing-cacing yang memasuki saluran air di satu RT tadi,

Worm yang nanti akan Anda buat, juga akan korban dengan memasukan kode program

sebagai bagian dari program Worm (segmentasi atau agregasi istilah cacingnya) ke dalam

tubuh korbannya. Kode program tersebut dapat berupa kode mesin (routine) yang suatu

waktu siap jadi Worm baru. Hebatnya lagi, korban secara otomatis akan menjadi

pembawa Worm (carrier) bagi korban-korban berikutnya.

Cara A atau Cara B?

Dalam proses penyebarannya, Worm yang baik harus mencari korban baru dan

wajib menginfeksi korban dengan salinan dirinya (“bibit-bibit” Worm). Kalau korban

terdeteksi sudah terinfeksi Worm Anda, maka Anda tidak usah repot-repot untuk

menyuruh Worm menginfeksi ulang!.

Proses penyebaran bibit-bibit Worm ini dapat berlangusng sebagai proses

penyebaran satuan (dari satu komputer ke komputer yang lain) atau sebagai proses

penyebaran massal (dari satu komputer ke banyak komputer). Maksudnya begini, ketika

Worm Anda sudah nularin flash disk Anda lah misalnya, kemudian Anda ngapel (bukan

ngepel loh) di tempat pacar Anda, dan sesudah sampainya Anda di sana langsung nyalain

komputer untuk ngopy (menyalin data, dudu nginum kopi) data dari flash disk tadi (yang

udah ketularan penyakit Worm) maka secara otomatis komputer pacar Anda pun akan

kena Worm sejenis dengan Worm Anda (catatan kalau pacar Anda tidak menginstall Anti

Virus yang baik lho, tapi anti virus yang yang baik juga bisa kejangkit virus jika tidak

pernah di update lho).

Ketika pacar Anda ngopy itu data dari komputernya ke flash disk lagi, kemudian

di buka di komputer selingkuhannya misalnya, yach… komputer selingkuhannya giliran

jadi korban selanjutnya. Dan begitu seterusnya. Menyerang tapi dari satu komputer ke

komputer lainnya satu-satu. Nah untuk yang massal ibaratnya gini. Di kampus Anda atau

di kantor Anda sama sajalah, komputer-komputer biasanya kan saling terhubung antara

satu dengan lainnya. Bisa dengan kabel UTP ataupun dengan wireless, yang penting bisa

saling koneksi. Dan biasanya, ada satu komputer yang dijadiin server. Nah, misalnya

salah satu data Microsoft Word Anda yang ada di flash disk Anda (yang kena Worm

loh!) kemudian dicopy-in ke sebuah server. Jadilah Worm itu nempel di server. Padahal

seperti Anda tahu, server itu kan di akses oleh semua komputer yang ada di situ kan!

Jadilah Worm Anda menyebar secara massal dengan waktu yang relatif singkat. Asal

orang ngakses server, maka kena dech! Dengan catatan kayak tadi juga, bahwa di

11

komputer-komputer tersebut tidak dipasang anti Virus yang baik-baik (yang bisa

ngedeteksi Worm).

Anda mungkin tidak berpikir, ketika cacing-cacing akan memasuki saluran baru,

si komandan cacing mungkin saja berteriak (dengan bahasa cacing terntunya) “Oiii ada

saluran baruuu! Serbuuuuuu!!!!” Nah apakah si cacing langusng masuk ke saluran baru

tersebut dengan tiba-tiba! Atau ngikut mengalir saja sehingga menemukan saluran-

saluran baru lainnya! Hmmm, mungkin bagi cacing yang cerdik (tergantung dari si

pembuat Worm tersebut, sudah expert atau masih pemula) mereka akan berpikir cara A

yaitu “kita akan menyerbu saluran mana lagi ya?” (pakai planning dan perhitungan

sambil cari-cari saluran baru) atau mereka akan berpikir cara B yaitu lha ini saluran

induknya! Berarti nanti kita tinggal menyerbu sini, sini dan sini!”menemukan saluran

utama, kemudian langkah menyerbu secara otomatis sudah ditangan si cacing, karena

semua cabang saluran kan jelas nyambung ke saluran induk nih). Nah, sama dengan hal

tersebut.

Di dunia Worm juga dikenal beberapa mekanisme penyebaran yang dapat dipakai

untuk menemukan calon korban yaitu dengan melakukan scaning, mencari korban

berdasarkan target list yang sudah dipersiapkan terlebih dahulu (kalau cacingnya ya cara

A) atau berdasarkan list yang ditemukan pada sistem korban maupun di metaserver serta

melakukan monitoring secara pasif (istilah cacingnya cara B).

12

CARA KERJA ANTIVIRUS

Antivirus adalah sebuah jenis perangkat lunak yang digunakan untuk mendeteksi

dan menghapus virus komputer dari sistem komputer. Disebut juga Virus Protection

Software. Aplikasi ini dapat menentukan apakah sebuah sistem komputer telah terinfeksi

dengan sebuah virus atau tidak. Umumnya, perangkat lunak ini berjalan di latar belakang

(background) dan melakukan pemindaian terhadap semua berkas yang diakses (dibuka,

dimodifikasi, atau ketika disimpan).

Sebagian besar antivirus bekerja dengan beberapa metode seperti di bawah ini:

* Pendeteksian dengan menggunakan basis data virus

signature (virus signature database)

Cara kerja antivirus ini merupakan pendekatan yang banyak digunakan oleh

antivirus tradisional, yang mencari tanda-tanda dari keberadaan dari virus dengan

menggunakan sebagian kecil dari kode virus yang telah dianalisis oleh vendor antivirus,

dan telah dikatalogisasi sesuai dengan jenisnya, ukurannya, daya hancurnya dan beberapa

kategori lainnya. Cara ini terbilang cepat dan dapat diandalkan untuk mendeteksi virus-

virus yang telah dianalisis oleh vendor antivirus, tapi tidak dapat mendeteksi virus yang

baru hingga basis data virus signature yang baru diinstalasikan ke dalam sistem. Basis

data virus signature ini dapat diperoleh dari vendor antivirus dan umumnya dapat

diperoleh secara gratis melalui download atau melalui berlangganan (subscription).

* Pendeteksian dengan melihat cara bagaimana virus

bekerja

Cara kerja antivirus seperti ini merupakan pendekatan yang baru yang dipinjam

dari teknologi yang diterapkan dalam Intrusion Detection System (IDS). Cara ini sering

disebut juga sebagai Behavior-blocking detection. Cara ini menggunakan policy

(kebijakan) yang harus diterapkan untuk mendeteksi keberadaan sebuah virus. Jika ada

kelakuan perangkat lunak yang "tidak wajar" menurut policy yang diterapkan, seperti

halnya perangkat lunak yang mencoba untuk mengakses address book untuk

mengirimkan e-mail secara massal terhadap daftar e-mail yang berada di dalam address

book tersebut (cara ini sering digunakan oleh virus untuk menularkan virus melalui e-

mail), maka antivirus akan menghentikan proses yang dilakukan oleh perangkat lunak

tersebut. Antivirus juga dapat mengisolasi kode-kode yang dicurigai sebagai virus hingga

administrator menentukan apa yang akan dilakukan selanjutnya.

Keuntungan dari cara ini adalah antivirus dapat mendeteksi adanya virus-virus

baru yang belum dikenali oleh basis data virus signature. Kekurangannya, jelas karena

antivirus memantau cara kerja perangkat lunak secara keseluruhan (bukan memantau

13

berkas), maka seringnya antivirus membuat alarm palsu atau "False Alarm" (jika

konfigurasi antivirus terlalu "keras"), atau bahkan mengizinkan virus untuk

berkembangbiak di dalam sistem (jika konfigurasi antivirus terlalu "lunak"), terjadi false

positive. Beberapa produsen menyebut teknik ini sebagai heuristic scanning.

Teknologi Heuristic Scanning ini telah berkembang begitu jauh hingga sekarang.

Beberapa antivirus mengecek sebuah file dengan definisi biasa. Jika lolos dari deteksi

biasa, maka file tersebut dijalankan di sebuah lingkungan virtual. Semua perubahan yang

dilakukan file bersifat seperti virus, maka pengguna akan diperingatkan.

Antivirus yang menggunakan behavior-blocking detection ini masih sedikit

jumlahnya, tapi di masa yang akan datang, kemungkinan besar semua antivirus akan

menggunakan cara ini. Beberapa antivirus juga menggunakan dua metode di atas secara

sekaligus.

* Antivirus - antivirus terbaru sekarang tidak hanya

mendeteksi virus

Program antivirus sekarang juga telah diprogram untuk mendeteksi spyware,

rootkits, dan malware - malware lainnya. Tidak hanya itu, antivirus sekarang dilengkapi

firewall, untuk melindungi komputer dari serangan hacker dan anti spam untuk mencegah

masuknya email sampah bervirus ke inbox pengguna.

* Antivirus berdasarkan jenis pengguna dapat dibagi menjadi

2

Yaitu untuk Home User dan Network (Corporate User). Untuk home user,

antivirus berjalan seperti biasa. Untuk versi jaringan, antivirus dapat melakukan scan di

komputer - komputer client dan network drive. Selain itu, proses update komputer client

dalam jaringan tidak harus langsung dari Internet. Komputer client dapat melakukan

upate langsung dari server jaringan.

14