Followers

Web Counter

msn live traffic
Weight Loss Tool

Pendeteksian dan Pembersihan Trojan


Memeriksa Listening Port

Mendeteksi keberadaan Trojan merupakan sebuah tindakan yang agak sulit dilakukan. Cara termudah adalah dengan melihat port-port mana yang terbuka dan sedang berada dalam keadaan "listening", dengan menggunakan utilitas tertentu semacam Netstat. Hal ini dikarenakan banyak Trojan berjalan sebagai sebuah layanan sistem, dan bekerja di latar belakang (background), sehingga Trojan-Trojan tersebut dapat menerima perintah dari penyerang dari jarak jauh. Ketika sebuah transmisi UDP atau TCP dilakukan, tapi transmisi tersebut dari port (yang berada dalam keadaan "listening") atau alamat yang tidak dikenali, maka hal tersebut bisa dijadikan pedoman bahwa sistem yang bersangkutan telah terinfeksi oleh Trojan Horse.

Berikut ini adalah contoh penggunaan utilitas Netstat dalam Windows XP Professional

C:\>netstat -a -b

Active Connections

Proto  Local Address          Foreign Address        State           PID
TCP    windows-xp:epmap       0.0.0.0:0              LISTENING       956
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\svchost.exe
-- unknown component(s) --
[svchost.exe]
TCP    windows-xp:microsoft-ds  0.0.0.0:0              LISTENING       4
[System]
TCP    windows-xp:50300       0.0.0.0:0              LISTENING       1908
[oodag.exe]
TCP    windows-xp:1025        0.0.0.0:0              LISTENING       496
[alg.exe]
TCP    windows-xp:1030        0.0.0.0:0              LISTENING       1252
[ccApp.exe]
UDP    windows-xp:microsoft-ds  *:*                                    4
[System]
UDP    windows-xp:4500        *:*                                    724
[lsass.exe]
UDP    windows-xp:isakmp      *:*                                    724
[lsass.exe]
UDP    windows-xp:1900        *:*                                    1192
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]
UDP    windows-xp:ntp         *:*                                    1036
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

Membuat Snapshot

Cara lainnya yang dapat digunakan adalah dengan membuat sebuah "snapshot" terhadap semua berkas program (*.EXE, *.DLL, *.COM, *.VXD, dan lain-lain) dan membandingkannya seiring dengan waktu dengan versi-versi terdahulunya, dalam kondisi komputer tidak terkoneksi ke jaringan. Hal ini dapat dilakukan dengan membuat sebuah checksum terhadap semua berkas program (dengan CRC atau MD5 atau mekanisme lainnya). Karena seringnya Trojan dimasukkan ke dalam direktori di mana sistem operasi berada (\WINDOWS atau \WINNT untuk Windows atau /bin, /usr/bin, /sbin, /usr/sbin dalam keluarga UNIX), maka yang patut dicurigai adalah berkas-berkas yang berada di dalam direktori tersebut. Banyak berkas yang dapat dicurigai, khususnya berkas-berkas program yang memiliki nama yang mirip dengan berkas yang "baik-baik" (seperti "svch0st.exe", dari yang seharusnya "svchost.exe", sebuah berkas yang dijalankan oleh banyak layanan sistem operasi Windows) dapat dicurigai sebagai Trojan Horse.

Antivirus

Cara terakhir adalah dengan menggunakan sebuah perangkat lunak antivirus, yang dilengkapi kemampuan untuk mendeteksi Trojan yang dipadukan dengan firewall yang memonitor setiap transmisi yang masuk dan keluar. Cara ini lebih efisien, tapi lebih mahal, karena umumnya perangkat lunak antivirus yang dipadukan dengan firewall memiliki harga yang lebih mahal dibandingkan dengan dua cara di atas (yang cenderung "gratis"). Memang, ada beberapa perangkat yang gratis, tapi tetap saja dibutuhkan waktu, tenaga dan uang untuk mendapatkannya (mengunduhnya dari Internet).


Diposting oleh Aksiterus Discloth di 13.44 0 komentar

Jenis2 Trojan

Beberapa jenis Trojan yang beredar antara lain adalah:

  • Pencuri password: Jenis Trojan ini dapat mencari password yang disimpan di dalam sistem operasi (/etc/passwd atau /etc/shadow dalam keluarga sistem operasi UNIX atau berkas Security Account Manager (SAM) dalam keluarga sistem operasi Windows NT) dan akan mengirimkannya kepada si penyerang yang asli. Selain itu, jenis Trojan ini juga dapat menipu pengguna dengan membuat tampilan seolah-olah dirinya adalah layar login (/sbin/login dalam sistem operasi UNIX atau Winlogon.exe dalam sistem operasi Windows NT) serta menunggu pengguna untuk memasukkan passwordnya dan mengirimkannya kepada penyerang. Contoh dari jenis ini adalah Passfilt Trojan yang bertindak seolah-olah dirinya adalah berkas Passfilt.dll yang aslinya digunakan untuk menambah keamanan password dalam sistem operasi Windows NT, tapi disalahgunakan menjadi sebuah program pencuri password.
  • Pencatat penekanan tombol (keystroke logger/keylogger): Jenis Trojan ini akan memantau semua yang diketikkan oleh pengguna dan akan mengirimkannya kepada penyerang. Jenis ini berbeda dengan spyware, meski dua hal tersebut melakukan hal yang serupa (memata-matai pengguna).
  • Tool administrasi jarak jauh (Remote Administration Tools/RAT): Jenis Trojan ini mengizinkan para penyerang untuk mengambil alih kontrol secara penuh terhadap sistem dan melakukan apapun yang mereka mau dari jarak jauh, seperti memformat hard disk, mencuri atau menghapus data dan lain-lain. Contoh dari Trojan ini adalah Back Orifice, Back Orifice 2000, dan SubSeven.
  • DDoS Trojan atau Zombie Trojan: Jenis Trojan ini digunakan untuk menjadikan sistem yang terinfeksi agar dapat melakukan serangan penolakan layanan secara terdistribusi terhadap host target.
  • Ada lagi sebuah jenis Trojan yang mengimbuhkan dirinya sendiri ke sebuah program untuk memodifikasi cara kerja program yang diimbuhinya. Jenis Trojan ini disebut sebagai Trojan virus.
Diposting oleh Aksiterus Discloth di 13.43 0 komentar

Cara Penyebaran Trojan

Penggunaan istilah Trojan atau Trojan horse dimaksudkan untuk menyusupkan kode-kode mencurigakan dan merusak di dalam sebuah program baik-baik dan berguna; seperti halnya dalam Perang Troya, para prajurit Sparta bersembunyi di dalam Kuda Troya yang ditujukan sebagai pengabdian kepada Poseidon. Kuda Troya tersebut menurut para petinggi Troya dianggap tidak berbahaya, dan diizinkan masuk ke dalam benteng Troya yang tidak dapat ditembus oleh para prajurit Yunani selama kurang lebih 10 tahun perang Troya bergejolak.

Kebanyakan Trojan saat ini berupa sebuah berkas yang dapat dieksekusi (*.EXE atau *.COM dalam sistem operasi Windows dan DOS atau program dengan nama yang sering dieksekusi dalam sistem operasi UNIX, seperti ls, cat, dan lain-lain) yang dimasukkan ke dalam sistem yang ditembus oleh seorang cracker untuk mencuri data yang penting bagi pengguna (password, data kartu kredit, dan lain-lain). Trojan juga dapat menginfeksi sistem ketika pengguna mengunduh aplikasi (seringnya berupa game komputer) dari sumber yang tidak dapat dipercayai dalam jaringan Internet. Aplikasi-aplikasi tersebut dapat memiliki kode Trojan yang diintegrasikan di dalam dirinya dan mengizinkan seorang cracker untuk dapat mengacak-acak sistem yang bersangkutan.

Diposting oleh Aksiterus Discloth di 13.41 0 komentar

Apa Itu WORM

Pendahuluan

Suatu saat kita pernah mendengar tentang sepak terjang virus, virus computer jangan dianalogikan seperti layaknya kuman atau bakteri yang hidup, namun virus adalah suatu kode tertentu yagn dibuat dengan suatu metode bahasa pemrograman (umumnya C). kode program ini biasa disebut Kode Jahat/Perusak (Malicious Codes).

Kode jahat/perusak (malicious codes atau disingkat malcodes) didefinisikan sebagai semua macam program, makro atau script yang dapat diesekusi dan dibuat dengan tujuan untuk merusak sistem komputer. Oleh karena itu bug yang dibuat secara tidak sengaja oleh programer, tidak termasuk dalam kategori ini. Tetapi untuk bug yang benar-benar mengganggu, banyak orang mengkategorikannya sebagai malcode. Malcodes ini memang dibuat untuk menjangkiti atau menulari suatu computer dengan mempelajari suatu metode di system computer, tujuannya untuk menggangu system tersebut. Setelah berhasil menulari system virus akan berusaha untuk menempel pada bagian yang terinfeksi saat ini banyak sekali virus yang dapat mengelabui anti virus dan virus dapat seakanakan berpikir sendiri. Menurut informasi dari Symantech sampai saat ini telah ditemukan sebanyak 60.0000 an virus, worm dan code jahat. Makanya dalam perkembangannya sampai pada akhirnya Malcodes ini disebut sebagai virus yang kerjanya membuat hidup orang tidak nyaman…

Varian

Dalam perkembangannya virus sangat cepat sekali, Kode perusak ini dapat digolongkan dalam 3 macam golongan: virus, worm dan Trojan Horses, serta beberapa program yang memiliki bug.

  • Virus, Virus memiliki kemampuan jahat untuk mereproduksi diri mereka sendiri dan terdiri dari kumpulan kode yang dapat memodifikasi target kode yang sedang berjalan, atau dapat pula memodifikasi struktur internal target kode, sehingga target kode sebelum berjalan dipaksa menjalankan virus. Virus sering menampilkan pesan yang tidak disukai, merusak tampilan display, menghapus memory C-MOS, merusak informasi dalam hard disk dll. Efek yang ditimbulkan virus mengalami perkembangan yang cukup serius akhir-akhir ini. Contoh virus: Brain, Ohe half, Die hard, XM/Laroux, Win95/CIH

  • Worm, Worm ditujukan kepada program yang mengkopi dirinya sendiri ke HANYA memory komputer. Perbedaan mendasar dari worm dan virus adalah, apakah menginfeksi target code atau tidak. Virus menginfeksi target code, tetapi worm tidak. Worm hanya tinggal di memory. Worm dapat dengan cepat memperbanyak diri dan biasanya dilakukan pada media LAN atau Internet, resources jaringan yang terinfeksi akan habis bandwidthnya dibanjiri oleh worm yang akan mengakibatkan melambatnya aliran data. Contoh worm: I-Worm/Happy99(Ska), I-Worm/ExploreZIP, Sobig, Nimda, Code Red, Sircam. Worm umumnya berbentuk file executable (berekstensi .EXE atau .SCR), yang terlampir (attach) pada email. Namun demikian, ada beberapa jenis worm yang berbentuk script yang ditulis dalam bahasa Visual Basic (VBScript).

  • Trojan Horse diproduksi dengan tujuan jahat. Konsep yang digunakan seperti pada zaman romawi kuno, Berbeda dengan virus, Trojan Horse tidak dapat memproduksi diri sendiri. Pada umumnya, mereka dibawa oleh utility program lainnya. Utility program tersebut mengandung dirinya, atau Trojan Horse itu sendiri ber”lagak” sebagai utility program. Contoh Trojan Horse: Win-Trojan/Back Orifice, Win-Trojan/SubSeven, Win- Trojan/Ecokys(Korean)

Kasus Virus

Ada banyak sekali cerita dan kasus yang disebabkan oleh virus, worm ataupun Trojan. Contohnya kasus virus macro yang menjangkiti doc Microsoft word. Virus CIH yang dibuat untuk merusak system BIOS, virus ini diperkirakan telah merusak ribuan computer didunia. Virus Mail My Love yang menggegerkan dunia Kasus Worm tercatat yang paling banyak ditemukan, contoh kasus terbesar yaitu Worm Nimda, Sircam dan Code Red dengan variannya yang membuat macem situs dan jaringan LAN perusahaan didunia, dimana worm tersebut melakukan komunikasi palsu yang menyebabkan jaringan tersendat. Nimda merupakan kebalikan dari Admin.

Di awal 2003 ini, virus worm Slammer hanya membutuhkan waktu 10 menit untuk membuat chaos pengguna internet. Dalam menit pertama penyebarannya, jumlah virus Slammer berlipat dua kali setiap 8,5 detik. Kecepatannya jauh di atas worm Code Red – yang menyebar 18 bulan lalu yang berlipat dua setiap 37 menit. Sobig dengan variannya yang telah membuat beberapa ISP dunia macet karena banjirnya

badwidth yang anomaly, dimana worm tersebut melakukan pengiriman code secara simultan lewat email dengan membaca semua alamat email kita yang ada di outlook express. Seperti juga penyakit yang kita kenal, pastilah virus computer ini mempunyai cara untuk menulari computer ?

Yap benar sekali, sebelumnya saya ingin mengambarkan cara kerja Worm. Cerdik karena ia mampu mengelabui scanning heuristic antivirus dan tidak terlalu ganas.Worm biasanya Menyebar melalui Email, Menyebar melaui network, dan Menyebar melalui IIS seperti BlueCode / Code Red.

Ada banyak cara sebuah MalCodes ini menginfeksi computer korban, diantaranya

Disk, media satu ini yang sering menularkan virus, kita memindahkan file-file dari computer lain tanpa kita lakukan scanning dulu. Mungkin saja file dari luar sudah terinfeksi.

Email, dengan metode attachement sebuah virus dapat menulari computer setelah attachment email kita buka, biasanya virus disusupkan dengan file lain layaknya sebuah file biasa atau gambar

Download, biasanya kita mendownload software-software dari internet, apalagi mendownload dari situs yang tidak terkanal, kemungkinan sangat besar kita dapat terkena jenis virus worm atau Trojan

Ciri-ciri terinfeksi Virus

Wah ada banyak sih gejala-gejalanya, biasanya jika virus sudah menginfeksi dampak langsungnya adalah file kita yang rusak atau hilang entah kemana, virus dapat mengatur computer kita atau menggangu system operasi misalnya melakukan restart, sering terjadi crash atau hang, kinerja atau performa pc yang sangat lambat.

Kalau computer kita terkoneksi ke internet lewat jaringan LAN, maka koneksinya akan lambat sekalai bahkan terputus. Jika kita memeriksa bandwidthnya maka akan terlihat anomaly bandwidth yang sedangkan kita tidak menggunakannya.

Tip Aman dari Virus

1. Pasang Anti Virus pada sistem anda Sebagai perlindungan di garis depan, penggunaan anti virus adalah wajib. Ada banyak anti virus yang beredar di pasaran saat ini. Beberapa yang cukup handal diantaranya adalah McAfree VirusScan (www.mcafee.com) dan Norton Anti Virus (www.symantec.com).

2. Update database program anti virus secara teratur, Ratusan virus baru muncul setiap bulannya. Usahakan untuk selalu meng-update database dari program anti virus yang anda gunakan. Database terbaru dapat dilihat pada website perusahaan pembuat program anti virus yang anda gunakan.

3. Pergunakan Firewall Personal, dengan menggunakan firewall maka akses yang akan keluar masuk ke system kita dapat diatur, apakah paket data disetujui atau ditolak.

4. Berhati-hati sebelum menjalankan file baru Lakukan scanning terlebih dahulu dengan anti virus sebelum menjalankan sebuah file yang didapat dari mendownload di internet atau mengkopi dari orang lain. Apabila anda biasa menggunakan sarana e-mail, berhati-hatilah setiap menerima attachment dalam bentuk file executable. Waspadai file-file yang berekstensi: *.COM, *.EXE, *.VBS, *.SCR, *.VB. Jangan terkecoh untuk langsung membukanya sebelum melakukan scanning dengan software anti virus.

5. Curigai apabila terjadi keanehan pada sistem anda, Menurunnya performa sistem secara drastis, khususnya saat melakukan operasi pembacaan/penulisan file di disk, serta munculnya masalah pada software saat dioperasikan bisa jadi merupakan indikasi bahwa sistem telah terinfeksi oleh virus. Berhatihatilah!

6. Backup data anda secara teratur, Tips ini mungkin tidak secara langsung menyelamatkan data anda dari ancaman virus, namun demikian akan sangat berguna apabila suatu saat virus betul-betul menyerang dan merusak data di komputer yang anda gunakan. Setidaknya dalam kondisi tersebut, anda tidak akan kehilangan seluruh data yang telah anda backup sebelumnya.




Diposting oleh Aksiterus Discloth di 13.25 0 komentar
Langganan: Postingan (Atom)