trojan,worm dan anti virus
-
Upload
din-afriansyah -
Category
Documents
-
view
120 -
download
0
Transcript of trojan,worm dan anti virus
Kata pengantar
Pertama-tama penulis panjatkan puji syukur kehadiran Allah SWT yang telah
memberikan kesehatan dan kesempatan untuk dapat menyelesaikan tugas makalahnya ini.
Dalam makalah kali ini penulis membahas tentang Pengertian dan Cara Kerja
Virus dan Antivirus. Dimana di dalamnya terdapat berbagai pembahasan mengenai
Pengetian virus Trojan, Cara Kerja virus Trojan, Cara keja Virus Worm serta Cara Kerja
Antivirus.
Dalam kesempatan kali ini tidak lupa juga penulis mengucapkan banyak terima
kasih kepada orang-orang yang secara langsung maupun tidak langsung telah membantu
penulis dalam menyelesaikan tugas makalah matematikanya ini. Seperti dosen Keamanan
Data Dan Jaringan yang telah membimbing penulis. Orang tua yang telah memberikan
dukungan, dan orang-orang yang tidak dapat disebut namanya satu persatu.
Di dalam makalah ini mungkin terdapat banyak kesalahan.maka dari itu penulis
mengaharapkan kritik dan saran dari pembaca agar dapat diperbaiki di kemudian hari.
PENULIS
KELOMPOK 2
1
PENGERTIAN UMUM TROJAN
Istilah Trojan Horse (Kuda Troya) berasal dari mitologi Yunani pada saat perang
Troya. Dalam peperangan tersebut pasukan Yunani melawan pasukan kerajaan Troya.
Pasukan Yunani telah mengepung kota Troya selama sepuluh tahun, namun karena pasukan
kerajaan Troya cukup tangguh, maka pasukan Yunani sulit mengalahkannya. Akhirnya,
pasukan Yunani membuat strategi yaitu dengan membuat sebuah kuda raksasa yang terbuat
dari kayu. Kuda dari kayu ini cukup unik, di dalamnya berongga sehingga dapat diisi pasukan
Yunani. Pasukan Yunani pura-pura mundur dan sambil memberikan hadiah kuda kayu
raksasa tersebut. Dengan bantuan seorang spionase Yunani yang bernama Sinon, penduduk
kota Troya berhasil diyakinkan untuk menerima kuda kayu raksasa itu dan memasukkannya
ke dalam kota. Pada malam harinya, pasukan Yunani yang berada di dalam kuda kayu keluar,
kemudian membuka gerbang dan kota Troya diserang. Dengan cara tersebut kota Troya dapat
dikuasai oleh Yunani.
Kisah epik di atas telah mengilhami para hacker untuk menciptakan “penyusup” ke
komputer orang lain yang disebut dengan Trojan Horse. Trojan pada saat ini berkaitan
dengan masalah keamanan komputer yang cukup serius. Trojan dapat masuk ke komputer
dengan melalui beberapa cara dan dari berbagai sumber yang kurang dapat dipercaya di
Internet atau dari orang lain .
Trojan di dalam sistem komputer adalah suatu program yang tidak diharapkan dan
disisipkan tanpa sepengetahuan pemilik komputer. Program ini kemudian dapat diaktifkan
dan dikendalikan dari jarak jauh, atau dengan menggunakan timer (pewaktu). Akibatnya,
komputer yang disisipi Trojan Horse tersebut dapat dikendalikan dari jarak jauh.
Definisi lain mengatakan bahwa Trojan adalah program apapun yang digunakan
untuk melaksanakan suatu fungsi penting dan diharapkan oleh pemakai, namun kode dan
fungsi di dalamnya tidak dikenal oleh pemakai. Selanjutnya program melaksanakan fungsi
tak dikenal dan dikendalikan dari jarak jauh yang tidak dikehendaki oleh pemakai.
Fungsi Trojan
Trojan bersembunyi di latar belakang dengan cara membuka port tertentu dan
menunggu diaktifkan oleh penyerang. Komputer yang telah terinfeksi dapat dikendalikan
oleh penyerang melalui versi client-nya.
Cara kerja Trojan mirip dengan remote administration tool, dengan sifat dan fungsi yang
sama. Program remote administration misalnya pcAnywhere, digunakan untuk keperluan
yang benar dan sah (legitimate), sedangkan Trojam digunakan untuk keperluan yang negatif .
Jika sebuah komputer terinfeksi oleh Trojan dan telah dikendalikan oleh penyerangnya,
maka beberapa kemungkinan dapat terjadi. Sebagai contoh, sebuah Trojan dengan nama
NetBus dapat melakukan banyak hal ke komputer yang telah dikendalikan antara lain :
• menghapus file,
• mengirim dan mengambil file,
2
• menjalankan program-program aplikasi,
• menampilkan gambar,
• mengintip program-program yang sedang dijalankan,
• menutup program-program yang dijalankan,
• melihat apa saja yang sedang diketik,
• membuka dan menutup CD-ROM drive,
• mengirim pesan dan mengajak untuk bicara (chat),
• mematikan komputer.
Contoh di atas adalah hanya sebagian yang dapat dikerjakan oleh sebuah Trojan. Trojan
lain kemungkinan mempunyai fungsi yang berbeda bahkan mungkin lebih berbahaya dan
lebih susah dideteksi.
Gambar 2.1 Penyusupan Trojan dalam Belanja Online [6]
Cara Kerja Trojan
Trojan masuk melalui dua bagian, yaitu bagian client dan server. Ketika korban (tanpa
diketahui) menjalankan komputer, kemudian penyerang akan menggunakan client untuk
koneksi dengan server dan mulai menggunakan trojan. Protokol TCP/IP adalah jenis protokol
yang umum digunakan untuk komunikasi. Trojan dapat bekerja dengan baik dengan jenis
protokol ini, tetapi beberapa trojan juga dapat menggunakan protokol UDP dengan baik.
Ketika server mulai dijalankan (pada komputer korban), Trojan umumnya mencoba untuk
menyembunyikan diri di suatu tempat dalam sistem komputer tersebut, kemudian mulai
3
“mendengarkan” di beberapa port untuk melakukan koneksi, memodifikasi registry dan atau
menggunakan metode lain yaitu metode autostarting.
Hal yang penting untuk diketahui oleh penyerang adalah mengetahui IP address korban
untuk menghubungkan komputernya ke komputer korban. Banyak varian Trojan mempunyai
kemampuan mengirimkan IP address korban ke penyerangnya, misalnya media ICQ maupun
IRC. Hal ini digunakan bagi korban yang mempunyai IP address dinamis, yang berarti setiap
kali menghubungkan ke Internet didapatkan IP address yang berbeda. Untuk pemakai yang
memanfaatkan Asymmetric Digital Suscriber Line (ADSL) berarti selalu memakai IP
address yang tetap (statis) sehingga mudah diketahui dan mudah untuk dikoneksikan dengan
komputer penyerang.
Sebagian besar Trojan menggunakan metode auto-starting, yaitu Trojan akan secara
otomatis aktif saat komputer dihidupkan. Walaupun komputer dimatikan dan kemudian
dihidupkan lagi, Trojan mampu bekerja kembali dan penyerang mengakses kembali ke
komputer korban.
Metode baru auto-starting dan trik lain telah ditemukan sejak semula. Jenis Trojan ini
bekerja mulai dari koneksi trojan ke dalam beberapa file executable yang sering digunakan
misalnya explorer.exe dan kemudian memodifikasi file sistem atau Windows Registry. File
sistem ditempatkan di direktori Windows. Dari direktori ini penyerang melaksanakan
penyerangan atau penyalahgunaan. Penyalahgunaan penyerang melewati file sistem adalah
sebagai berikut.
• Autostart Folder.
Autostart folder berada di lokasi C:\Windows\Start Menu\Programs\Startup dan
sesuai dengan namanya akan bekerja secara otomatis bagia file sistem yang
ditempatkan di folder tersebut.
• Win.Ini.
File sistem Windows menggunakan load=trojan.exe dan run=trojan.exe untuk
menjalankan Trojan.
• System.Ini.
Menggunakan shell=explorer.exe trojan.exe. Hal ini diakibatkan oleh eksekusi setiap
file setelah menjalankan explorer.exe.
• Wininit.Ini.
Sebagian besar setup program menggunakan file ini. Sekali dijalankan maka menjadi
auto-delete, akibatnya Trojan sangat cekatan atau cepat untuk bekerja kembali.
• Winstart.Bat.
Bertindak seperti batch file yang normal, ketika ditambahkan@ trojan.exe mampu
menyembunyikan korbannya.
• Autoexec.Bat.
Autoexec.Bat adalah file auto-starting Disk Operating System (DOS). File tersebut
digunakan sebagai metode auto-starting, yaitu dengan memasang c:\trojan.exe.
• Config.Sys.
4
Config.Sys juga dapat digunakan sebagai suatu metode auto-starting untuk Trojan.
• Explorer Startup.
Explorer Startup adalah suatu metode auto-starting untuk Windows95, 98, ME dan
jika c:\explorer.exe ada, hal itu akan dimulai maka akan menggantikan yang
umum, yaitu c:\Windows\Explorer.exe.
Registry sering digunakan dalam berbagai metode auto-starting. Registry sebagai jalan untuk
auto-starting yang diketahui antara lain: [7]
• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run]
"Info"="c:\directory\Trojan.exe"
• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunOnce]
"Info"="c:\directory\Trojan.exe"
• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices]
"Info"="c:\directory\Trojan.exe"
• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServicesOnce]
"Info="c:\directory\Trojan.exe"
• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run]
"Info"="c:\directory\Trojan.exe"
• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunOnce]
"Info"="c:\directory\Trojan.exe"
• Registry Shell Open
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open
\command]
Suatu kunci dengan nilai "% 1%*" harus ditempatkan disana dan jika terdapat
beberapa file yang executable. Setiap kali file dieksekusi maka akan membuka suatu
binary file. Jika di registry ini terdapat trojan.exe "% 1%*", maka akan digunakan
sebagai auto-starting untuk Trojan.
• Metode Deteksi ICQ Net
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\]
Kunci dari metode ini adalah semua file akan dieksekusi jika ICQ mendeteksi
koneksi Internet. Perlu diketahui, bahwa cara kerja dari ICQ adalah sangat mudah
5
dan sering digunakan pemakai, sehingga ICQ dimanfaatkan oleh penyerang
medianya.
• ActiveX Component
[HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup
\Installed Components\KeyName]
StubPath=C:\directory\Trojan.exe
Jenis jenis Trojan
Trojan seperti halnya virus, mempunyai jumlah yang cukup banyak dan berkembang
seiring dengan berjalannya waktu. Terdapat kurang lebih 650 buah Trojan yang telah beredar
saat ini . Pendapat lain mengatakan bahwa di tahun 2002 sudah terdapat sekitar 800 buah
Trojan. Jumlah tersebut adalah jumlah yang diketahui atau terdeteksi keberadaannya,
sedangkan yang tidak terdeteksi tidak diketahui jumlahnya.
Dari berbagai macam Trojan yang telah beredar dan menginfeksi pemakai Internet,
dapat diklasifikasikan berdasarkan ciri-cirinya. Menurut Dancho Danchev (2004), Trojan
dapat diklasifikasikan menjadi delapan jenis, antara lain sebagai berikut.
1. Trojan Remote Access
Trojan Remote Access termasuk Trojan paling populer saat ini. Prosesnya adalah menunggu
seseorang menjalankan Trojan yang berfungsi sebagai server dan jika penyerang telah
memiliki IP address korban, maka penyerang dapat mengendalikan secara penuh komputer
korban. Contoh jenis Trojan ini adalah Back Orifice (BO), yang terdiri dari BOSERVE.EXE
yang dijalankan dikomputer korban dan BOGUI.EXE yang dijalankan oleh penyerang untuk
mengakses komputer korban.
2. Trojan Pengirim Password
Tujuan dari Trojan jenis ini adalah mengirimkan password yang berada di komputer korban
atau di Internet ke suatu e-mail khusus yang telah disiapkan. Contoh password yang disadap
misalnya untuk ICQ, IRC, FTP, HTTP atau aplikasi lain yang memerlukan seorang pemakai
untuk masuk suatu login dan password. Kebanyakan Trojan ini menggunakan port 25 untuk
mengirimkan e-mail. Jenis ini sangat berbahaya jika dalam komputer terdapat password yang
sangat penting.
3. Trojan File Transfer Protocol (FTP)
Trojan FTP adalah paling sederhana dan dianggap ketinggalan jaman. Satu-satunya fungsi
yang dijalankan adalah membuka port 21 di komputer korban yang menyebabkan
6
mempermudah seseorang memiliki FTP client untuk memasuki komputer korban tanpa
password serta melakukan download atau upload file.
4. Keyloggers
Keyloggers termasuk dalam jenis Trojan yang sederhana, dengan fungsi merekam atau
mencatat ketukan tombol saat korban melakukan pengetikan dan menyimpannya dalam
logfile. Apabila diantara ketukan tersebut adalah mengisi user name dan password, maka
keduanya dapat diperoleh penyerang dengan membaca logfile. Trojan ini dapat dijalankan
pada saat komputer online maupun offline.
5. Trojan Penghancur
Satu-satunya fungsi dari jenis ini adalah untuk menghancurkan dan menghapus file. Trojan
penghancur termasuk jenis yang sederhana dan mudah digunakan, namun sangat berbahaya.
Sekali terinfeksi dan tidak dapat melakukan penyelamatan maka sebagian atau bahkan semua
file sistem akan hilang. Trojan ini secara otomatis menghapus semua file sistem pada
komputer korban (sebagai contoh : *.dll, *.ini atau *.exe). Trojan diaktifkan oleh penyerang
atau bekerja seperti sebuah logic bomb dan mulai bekerja dengan waktu yang ditentukan oleh
penyerang.
6. Trojan Denial of Service (DoS) Attack
Trojan DoS Attack saat ini termasuk yang sangat populer. Trojan ini mempunyai kemampuan
untuk menjalankan Distributed DoS (DDoS) jika mempunyai korban yang cukup. Gagasan
utamanya adalah bahwa jika penyerang mempunyai 200 korban pemakai ADSL yang telah
terinfeksi, kemudian mulai menyerang korban secara serempak. Hasilnya adalah lalu lintas
data yang sangat padat karena permintaan yang bertubi-tubi dan melebihi kapasitas band
width korban. Hal tersebut menyebabkan akses Internet menjadi tertutup. Wintrinoo adalah
suatu tool DDoS yang populer baru-baru ini, dan jika penyerang telah menginfeksi pemakai
ADSL, maka beberapa situs utama Internet akan collaps. Variasi yang lain dari sebuah trojan
DoS adalah trojan mail-bomb, tujuan utamanya adalah untuk menginfeksi sebanyak mungkin
komputer dan melakukan penyerangan secara serempak ke alamat e-mail yang spesifik
maupun alamat lain yang spesifik dengan target yang acak dan muatan/isi yang tidak dapat
disaring.
7. Trojan Proxy/Wingate
Bentuk dan corak yang menarik diterapkan oleh pembuat trojan untuk mengelabui korban
dengan memanfaatkan suatu Proxy/Wingate server yang disediakan untuk seluruh dunia atau
hanya untuk penyerang saja. Trojan Proxy/Wingate digunakan pada Telnet yang tanpa nama,
ICQ, IRC, dan untuk mendaftarkan domain dengan nomor kartu kredit yang telah dicuri serta
7
untuk aktivitas lain yang tidak sah. Trojan ini melengkapi penyerang dengan keadaan tanpa
nama dan memberikan kesempatan untuk berbuat segalanya terhadap komputer korban dan
jejak yang tidak dapat ditelusuri.
8. Software Detection Killers
Beberapa Trojan telah dilengkapi dengan kemampuan melumpuhkan fungsi software
pendeteksi, tetapi ada juga program yang berdiri sendiri dengan fungsi yang sama. Contoh
software pendeteksi yang dapat dilumpuhkan fungsinya adalah Zone Alarm, Norton Anti-
Virus dan program anti-virus/firewall yang lain berfungsi melindungi komputer. Ketika
software pendeteksi dilumpuhkan, penyerang akan mempunyai akses penuh ke komputer
korban, melaksanakan beberapa aktivitas yang tidak sah, menggunakan komputer korban
untuk menyerang komputer yang lain.
Worm (Cacing)
8
Worm adalah sebuah program komputer salah satu malware. Program ini berbahaya yang
dapat menyalinan sendiri berulang-ulang, pada drive lokal, jaringan, email, atau Internet.
Program ini menggunakan jaringan komputer untuk mengirimkan salinan dirinya ke node
lainnya (komputer pada jaringan) dan dapat menginfeksi tanpa sepengetahuan pengguna.
tujuan utama Worm adalah untuk mereproduksi, tidak seperti virus yang mencoba untuk
menginfeksi, tapi menyalin kode embed ke dalam, file lainnya. Hal ini disebabkan oleh
kelemahan keamanan pada komputer target. Worm tidak menginfeksi file atau
memodifikasi file melainkan menimbulkan kerugian pada jaringan karena worm akan
mengkonsumsi bandwith jaringan, sehingga mengakibatkan speed Internet lambat.
Jenis worm yang paling umum adalah worm email. Sesuai dengan jenisnya, worm email
tidak menulari file lainnya seperti halnya virus tetapi mereka hanya membuat salinan
dirinya berulang-ulang. worm email melakukan ini melalui email, dengan mengirimkan
diri ke alamat email yang ditemukan pada sistem pengguna yang terinfeksi.
Email worm bisa menyebar secara global dalam beberapa saat dengan menggunakan
taktik sederhana. Bayangkan bila email seorang yang terinfeksi dan memiliki dua puluh
alamat email yang ditemukan pada sistem-nya. Maka worm akan mengirim salinan
dirinya ke alamat tersebut. Jika salah satu email penerima terinfeksi, mereka juga tidak
sadar akan menyebarkan salinan worm kepada teman-teman, kolega, dan rekan bisnis
yang alamat email terdapat pada email mereka.
Worms dengan maksud baik
Awalnya dengan penelitian worm pertama di Xerox PARC, telah ada upaya untuk
menciptakan worm yang berguna. Keluarga Worm Nachi, misalnya, mencoba untuk
men-download dan menginstal patch dari website Microsoft untuk memperbaiki
kelemahan-kelemahan dalam sistem host-dengan memanfaatkan kerentanan mereka.
Dalam prakteknya, meskipun ini mungkin telah membuat sistem tersebut lebih aman, tapi
menciptakan lalu lintas jaringan yang cukup besar, reboot mesin dalam patch, dan
melakukan pekerjaan tanpa persetujuan pemilik atau pengguna komputer.
Beberapa worm, seperti worm XSS, diciptakan untuk penelitian menentukan faktor-
faktor bagaimana worm menyebar, seperti kegiatan sosial dan perubahan perilaku
pengguna, sementara worm lainnya merupakan lelucon, seperti salah satu yang mengirim
gambar populer makro burung hantu dengan frase “O RLY?” ke antrian cetak dalam
komputer yang terinfeksi.
Kebanyakan ahli keamanan menganggap semua worm sebagai malware, apa pun tujuan
mereka atau niat pencipta mereka.
Melindungi komputer terhadap worm yang berbahaya
9
Pengguna perlu berhati-hati membuka email tak dikenal, dan tidak boleh menjalankan
file lampiran atau program, atau kunjungi situs web yang terkait dengan email tersebut.
Namun, seperti worm ILOVEYOU, dan dengan peningkatan pertumbuhan dan efisiensi
serangan phishing, masih mungkin untuk mengelabui pengguna akhir dengan
menjalankan kode berbahaya.
Tidak ada cara yang cepat dan mudah untuk memperbaiki masalah worm email.
Pertahanan terbaik terhadap worm e-mail ini membuat lampiran email, menjaga sistem
anda, mengamankan klien email Anda, dan memastikan perangkat lunak antivirus Anda
selalu up to date dan mengaktifkan sistem firewall.
Beberapa contoh dari worm adalah sebagai berikut:
ADMw0rm: Worm yang dapat melakukan ekspolitasi terhadap layanan jaringan
Berkeley Internet Name Domain (BIND), dengan melakukan buffer-overflow.
Code Red: Worm yang dapat melakukan eksploitasi terhadap layanan Internet
Information Services (IIS) versi 4 dan versi 5, dengan melakukan serangan buffer-
overflow.
LoveLetter: Worm yang menyebar dengan cara mengirimkan dirinya melalui e-
mail kepada semua akun yang terdaftar dalam Address Book Microsoft Outlook
Express/daftar kontak dalam Microsoft Outlook dengan cara menggunakan kode
Visual Basic Script (VBScript).
Nimda
SQL-Slammer
CARA KERJA WORM
Mencari Korban Baru
Kalau di analogi sebelumnya, istilah korban ini sebenarnya adalah
menggambarkan saluran baru atau saluran lain (mungkin bayangkan saja sebagai saluran
air punya tetangga baru Anda yang baru pindah dari Ajibarang ke perumahan Anda dan
baru pasang pipa paralon untuk nyambungin air PDAM), dimana saluran tersebut secara
tidak langsung juga nyambung dengan pipa yang menuju ke kamar mandi Anda sudah
terisi banyak cacing.
Saluran baru atau saluran lain milik tetangga baru inilah yang akan dimasukin
cacing dari pipa paralon Anda. Kasihan juga yach! Tapi ini kan terjadi secara otomatis,
tanpa campur tangan kita kan! Nah kemudian secara tidak langsung, jika saluran tetangga
baru Anda sudah ter-“infeksi” cacing-cacing dari saluran air milik Anda maka secara
10
otomatis saluran air tetangga Anda juga akan jadi sumber pembawa cacing-cacing bagi
saluran-saluran baru lainnya yang belum ter”infeksi” (oleh cacing). Begitu seterusnya
sampai satu RT, satu RW, satu kelurahan bahkan mungkin satu kecamatan saluran airnya
tersumbat oelh banyak cacing.
Sama halnya dengan cacing-cacing yang memasuki saluran air di satu RT tadi,
Worm yang nanti akan Anda buat, juga akan korban dengan memasukan kode program
sebagai bagian dari program Worm (segmentasi atau agregasi istilah cacingnya) ke dalam
tubuh korbannya. Kode program tersebut dapat berupa kode mesin (routine) yang suatu
waktu siap jadi Worm baru. Hebatnya lagi, korban secara otomatis akan menjadi
pembawa Worm (carrier) bagi korban-korban berikutnya.
Cara A atau Cara B?
Dalam proses penyebarannya, Worm yang baik harus mencari korban baru dan
wajib menginfeksi korban dengan salinan dirinya (“bibit-bibit” Worm). Kalau korban
terdeteksi sudah terinfeksi Worm Anda, maka Anda tidak usah repot-repot untuk
menyuruh Worm menginfeksi ulang!.
Proses penyebaran bibit-bibit Worm ini dapat berlangusng sebagai proses
penyebaran satuan (dari satu komputer ke komputer yang lain) atau sebagai proses
penyebaran massal (dari satu komputer ke banyak komputer). Maksudnya begini, ketika
Worm Anda sudah nularin flash disk Anda lah misalnya, kemudian Anda ngapel (bukan
ngepel loh) di tempat pacar Anda, dan sesudah sampainya Anda di sana langsung nyalain
komputer untuk ngopy (menyalin data, dudu nginum kopi) data dari flash disk tadi (yang
udah ketularan penyakit Worm) maka secara otomatis komputer pacar Anda pun akan
kena Worm sejenis dengan Worm Anda (catatan kalau pacar Anda tidak menginstall Anti
Virus yang baik lho, tapi anti virus yang yang baik juga bisa kejangkit virus jika tidak
pernah di update lho).
Ketika pacar Anda ngopy itu data dari komputernya ke flash disk lagi, kemudian
di buka di komputer selingkuhannya misalnya, yach… komputer selingkuhannya giliran
jadi korban selanjutnya. Dan begitu seterusnya. Menyerang tapi dari satu komputer ke
komputer lainnya satu-satu. Nah untuk yang massal ibaratnya gini. Di kampus Anda atau
di kantor Anda sama sajalah, komputer-komputer biasanya kan saling terhubung antara
satu dengan lainnya. Bisa dengan kabel UTP ataupun dengan wireless, yang penting bisa
saling koneksi. Dan biasanya, ada satu komputer yang dijadiin server. Nah, misalnya
salah satu data Microsoft Word Anda yang ada di flash disk Anda (yang kena Worm
loh!) kemudian dicopy-in ke sebuah server. Jadilah Worm itu nempel di server. Padahal
seperti Anda tahu, server itu kan di akses oleh semua komputer yang ada di situ kan!
Jadilah Worm Anda menyebar secara massal dengan waktu yang relatif singkat. Asal
orang ngakses server, maka kena dech! Dengan catatan kayak tadi juga, bahwa di
11
komputer-komputer tersebut tidak dipasang anti Virus yang baik-baik (yang bisa
ngedeteksi Worm).
Anda mungkin tidak berpikir, ketika cacing-cacing akan memasuki saluran baru,
si komandan cacing mungkin saja berteriak (dengan bahasa cacing terntunya) “Oiii ada
saluran baruuu! Serbuuuuuu!!!!” Nah apakah si cacing langusng masuk ke saluran baru
tersebut dengan tiba-tiba! Atau ngikut mengalir saja sehingga menemukan saluran-
saluran baru lainnya! Hmmm, mungkin bagi cacing yang cerdik (tergantung dari si
pembuat Worm tersebut, sudah expert atau masih pemula) mereka akan berpikir cara A
yaitu “kita akan menyerbu saluran mana lagi ya?” (pakai planning dan perhitungan
sambil cari-cari saluran baru) atau mereka akan berpikir cara B yaitu lha ini saluran
induknya! Berarti nanti kita tinggal menyerbu sini, sini dan sini!”menemukan saluran
utama, kemudian langkah menyerbu secara otomatis sudah ditangan si cacing, karena
semua cabang saluran kan jelas nyambung ke saluran induk nih). Nah, sama dengan hal
tersebut.
Di dunia Worm juga dikenal beberapa mekanisme penyebaran yang dapat dipakai
untuk menemukan calon korban yaitu dengan melakukan scaning, mencari korban
berdasarkan target list yang sudah dipersiapkan terlebih dahulu (kalau cacingnya ya cara
A) atau berdasarkan list yang ditemukan pada sistem korban maupun di metaserver serta
melakukan monitoring secara pasif (istilah cacingnya cara B).
12
CARA KERJA ANTIVIRUS
Antivirus adalah sebuah jenis perangkat lunak yang digunakan untuk mendeteksi
dan menghapus virus komputer dari sistem komputer. Disebut juga Virus Protection
Software. Aplikasi ini dapat menentukan apakah sebuah sistem komputer telah terinfeksi
dengan sebuah virus atau tidak. Umumnya, perangkat lunak ini berjalan di latar belakang
(background) dan melakukan pemindaian terhadap semua berkas yang diakses (dibuka,
dimodifikasi, atau ketika disimpan).
Sebagian besar antivirus bekerja dengan beberapa metode seperti di bawah ini:
* Pendeteksian dengan menggunakan basis data virus
signature (virus signature database)
Cara kerja antivirus ini merupakan pendekatan yang banyak digunakan oleh
antivirus tradisional, yang mencari tanda-tanda dari keberadaan dari virus dengan
menggunakan sebagian kecil dari kode virus yang telah dianalisis oleh vendor antivirus,
dan telah dikatalogisasi sesuai dengan jenisnya, ukurannya, daya hancurnya dan beberapa
kategori lainnya. Cara ini terbilang cepat dan dapat diandalkan untuk mendeteksi virus-
virus yang telah dianalisis oleh vendor antivirus, tapi tidak dapat mendeteksi virus yang
baru hingga basis data virus signature yang baru diinstalasikan ke dalam sistem. Basis
data virus signature ini dapat diperoleh dari vendor antivirus dan umumnya dapat
diperoleh secara gratis melalui download atau melalui berlangganan (subscription).
* Pendeteksian dengan melihat cara bagaimana virus
bekerja
Cara kerja antivirus seperti ini merupakan pendekatan yang baru yang dipinjam
dari teknologi yang diterapkan dalam Intrusion Detection System (IDS). Cara ini sering
disebut juga sebagai Behavior-blocking detection. Cara ini menggunakan policy
(kebijakan) yang harus diterapkan untuk mendeteksi keberadaan sebuah virus. Jika ada
kelakuan perangkat lunak yang "tidak wajar" menurut policy yang diterapkan, seperti
halnya perangkat lunak yang mencoba untuk mengakses address book untuk
mengirimkan e-mail secara massal terhadap daftar e-mail yang berada di dalam address
book tersebut (cara ini sering digunakan oleh virus untuk menularkan virus melalui e-
mail), maka antivirus akan menghentikan proses yang dilakukan oleh perangkat lunak
tersebut. Antivirus juga dapat mengisolasi kode-kode yang dicurigai sebagai virus hingga
administrator menentukan apa yang akan dilakukan selanjutnya.
Keuntungan dari cara ini adalah antivirus dapat mendeteksi adanya virus-virus
baru yang belum dikenali oleh basis data virus signature. Kekurangannya, jelas karena
antivirus memantau cara kerja perangkat lunak secara keseluruhan (bukan memantau
13
berkas), maka seringnya antivirus membuat alarm palsu atau "False Alarm" (jika
konfigurasi antivirus terlalu "keras"), atau bahkan mengizinkan virus untuk
berkembangbiak di dalam sistem (jika konfigurasi antivirus terlalu "lunak"), terjadi false
positive. Beberapa produsen menyebut teknik ini sebagai heuristic scanning.
Teknologi Heuristic Scanning ini telah berkembang begitu jauh hingga sekarang.
Beberapa antivirus mengecek sebuah file dengan definisi biasa. Jika lolos dari deteksi
biasa, maka file tersebut dijalankan di sebuah lingkungan virtual. Semua perubahan yang
dilakukan file bersifat seperti virus, maka pengguna akan diperingatkan.
Antivirus yang menggunakan behavior-blocking detection ini masih sedikit
jumlahnya, tapi di masa yang akan datang, kemungkinan besar semua antivirus akan
menggunakan cara ini. Beberapa antivirus juga menggunakan dua metode di atas secara
sekaligus.
* Antivirus - antivirus terbaru sekarang tidak hanya
mendeteksi virus
Program antivirus sekarang juga telah diprogram untuk mendeteksi spyware,
rootkits, dan malware - malware lainnya. Tidak hanya itu, antivirus sekarang dilengkapi
firewall, untuk melindungi komputer dari serangan hacker dan anti spam untuk mencegah
masuknya email sampah bervirus ke inbox pengguna.
* Antivirus berdasarkan jenis pengguna dapat dibagi menjadi
2
Yaitu untuk Home User dan Network (Corporate User). Untuk home user,
antivirus berjalan seperti biasa. Untuk versi jaringan, antivirus dapat melakukan scan di
komputer - komputer client dan network drive. Selain itu, proses update komputer client
dalam jaringan tidak harus langsung dari Internet. Komputer client dapat melakukan
upate langsung dari server jaringan.
14