Trojan


Seperti halnya virus, jumlah trojan yang semakin lama semakin bertambah banyak, karena hacker atau pembuat program Trojan (programmer) yang selalu bereksperimen untuk mengembangkannya. Trojan tidak mempunyai masa aktif, maksudnya Trojan akan ada selamanya (bersarang) dan tidak pernah akan habis. Programmer akan selalu bereksperimen untuk menciptakan Trojan yang unik dengan fungsi-fungsi baru dengan metode enkripsi yang lebih hebat. Secara teknis, Trojan dapat muncul di mana saja dan kapan saja, di sistem operasi manapun dan berbagai platform. Kecepatan peredaran Trojan secepat virus. Secara umum Trojan berasal dari program-program yang di download dari Internet, terutama freeware atau shareware yang mencurigakan dan tidak berasal dari situs aslinya, Salah satu indikasi komputer yang terinfeksi oleh Trojan dapat digambarkan sebagai berikut. Pada saat komputer terhubung dengan Internet, misalnya saat mengobrol (chating) atau memeriksa e-mail, tetapi hardisk bekerja dengan sibuk (busy) dalam waktu yang lama. Selain itu pemakai juga tidak sedang menjalankan program aplikasi besar atau men-download sesuatu yang mengharuskan piringan hardisk berputar cukup lama. Kejadian tersebut termasuk kejadian aneh yang patut dicurigai adanya penyusupan.

Definisi Trojan

Trojan di dalam sistem komputer adalah suatu program yang tidak diharapkan dan disisipkan tanpa sepengetahuan pemilik komputer. Program ini kemudian dapat diaktifkan dan dikendalikan dari jarak jauh, atau dengan menggunakan timer (pewaktu). Akibatnya, komputer yang disisipi Trojan Horse tersebut dapat dikendalikan dari jarak jauh.

Trojan bersembunyi di latar belakang dengan cara membuka port tertentu dan menunggu diaktifkan oleh penyerang. Komputer yang telah terinfeksi dapat dikendalikan oleh penyerang melalui versi client-nya.

Fungsi Trojan

Jika sebuah komputer terinfeksi oleh Trojan dan telah dikendalikan oleh penyerangnya, maka beberapa kemungkinan dapat terjadi. Sebagai contoh, sebuah Trojan dengan nama NetBus dapat melakukan banyak hal ke komputer yang telah dikendalikan antara lain :

  • menghapus file
  • mengirim dan mengambil file,
  • menjalankan program-program aplikasi
  • menampilkan gambar,
  • mengintip program-program yang sedang dijalankan,
  • menutup program-program yang dijalankan,
  • melihat apa saja yang sedang diketik,
  • membuka dan menutup CD-ROM drive,
  • mengirim pesan dan mengajak untuk bicara (chat),
  • mematikan komputer.

Sebagian besar Trojan menggunakan metode auto-starting, yaitu Trojan akan secara otomatis aktif saat komputer dihidupkan. Walaupun komputer dimatikan dan kemudian dihidupkan lagi, Trojan mampu bekerja kembali dan penyerang mengakses kembali ke komputer korban.

Jenis Trojan ini bekerja mulai dari koneksi trojan ke dalam beberapa file executable yang sering digunakan misalnya explorer.exe dan kemudian memodifikasi file sistem atau Windows Registry. File sistem ditempatkan di direktori Windows. Dari direktori ini penyerang melaksanakan penyerangan atau penyalahgunaan. Penyalahgunaan penyerang melewati file sistem adalah sebagai berikut

• Autostart Folder.
Autostart folder berada di lokasi C:\Windows\Start Menu\Programs\Startup dan sesuai dengan namanya akan bekerja secara otomatis bagia file sistem yang ditempatkan di folder tersebut.
• Win.Ini.
File sistem Windows menggunakan load=trojan.exe dan run=trojan.exe untuk menjalankan Trojan.
• System.Ini.
Menggunakan shell=explorer.exe trojan.exe. Hal ini diakibatkan oleh eksekusi setiap file setelah menjalankan explorer.exe.
• Wininit.Ini.
Sebagian besar setup program menggunakan file ini. Sekali dijalankan maka menjadi auto-delete, akibatnya Trojan sangat cekatan atau cepat untuk bekerja kembali

Winstart.Bat.
Bertindak seperti batch file yang normal, ketika ditambahkan@ trojan.exe mampu menyembunyikan korbannya.
• Autoexec.Bat.
Autoexec.Bat adalah file auto-starting Disk Operating System (DOS). File tersebut digunakan sebagai metode auto-starting, yaitu dengan memasang c:\trojan.exe.
• Config.Sys.
Config.Sys juga dapat digunakan sebagai suatu metode auto-starting untuk Trojan.
• Explorer Startup.
Explorer Startup adalah suatu metode auto-starting untuk Windows95, 98, ME dan jika c:\explorer.exe ada, hal itu akan dimulai maka akan menggantikan yang umum, yaitu c:\Windows\Explorer.exe.

Registry sering digunakan dalam berbagai metode auto-starting.

Registry sebagai jalan untuk auto-starting yang diketahui antara lain: [7]
• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run]
“Info”=”c:\directory\Trojan.exe”
• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunOnce]
“Info”=”c:\directory\Trojan.exe”
• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices]
“Info”=”c:\directory\Trojan.exe”
• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServicesOnce]
“Info=”c:\directory\Trojan.exe”
• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run]
“Info”=”c:\directory\Trojan.exe”
• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunOnce]
“Info”=”c:\directory\Trojan.exe”

• Registry Shell Open
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open
\command]
Suatu kunci dengan nilai “% 1%*” harus ditempatkan disana dan jika terdapat beberapa file yang executable. Setiap kali file dieksekusi maka akan membuka suatu binary file. Jika di registry ini terdapat trojan.exe “% 1%*”, maka akan digunakan sebagai auto-starting untuk Trojan.
• Metode Deteksi ICQ Net
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\]
Kunci dari metode ini adalah semua file akan dieksekusi jika ICQ mendeteksi koneksi Internet. Perlu diketahui, bahwa cara kerja dari ICQ adalah sangat mudah dan sering digunakan pemakai, sehingga ICQ dimanfaatkan oleh penyerang medianya.
• ActiveX Component
[HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup
\Installed Components\KeyName]
StubPath=C:\directory\Trojan.exe
Suatu kunci dengan nilai “% 1%*” harus ditempatkan disana dan jika terdapat beberapa file yang executable. Setiap kali file dieksekusi maka akan membuka suatu binary file. Jika di registry ini terdapat trojan.exe “% 1%*”, maka akan digunakan sebagai auto-starting untuk Trojan.

Jenis-jenis trojan

  1. Trojan Remote Access
  2. Trojan Pengirim Password
  3. Trojan File Transfer Protocol (FTP)
  4. Keyloggers
  5. Trojan Penghancur
  6. Trojan Denial of Service (DoS) Attack
  7. Trojan Proxy/Wingate
  8. Software Detection Killers

Trojan remote access

Trojan Remote Access termasuk Trojan paling populer saat ini. Banyak penyerang
menggunakan Trojan ini dengan alasan fungsi yang banyak dan sangat mudah dalam penggunaannya. Prosesnya adalah menunggu seseorang menjalankan Trojan yang berfungsi sebagai server dan jika penyerang telah memiliki IP address korban, maka penyerang dapat mengendalikan secara penuh komputer korban. Contoh jenis Trojan ini adalah Back Orifice (BO), yang terdiri dari BOSERVE.EXE yang dijalankan dikomputer korban dan BOGUI.EXE yang dijalankan oleh penyerang untuk mengakses komputer korban.

Trojan Pengirim Password

Tujuan dari Trojan jenis ini adalah mengirimkan password yang berada di komputer
korban atau di Internet ke suatu e-mail khusus yang telah disiapkan. Contoh
password yang disadap misalnya untuk ICQ, IRC, FTP, HTTP atau aplikasi lain
yang memerlukan seorang pemakai untuk masuk suatu login dan password.
Kebanyakan Trojan ini menggunakan port 25 untuk mengirimkan e-mail. Jenis ini sangat berbahaya jika dalam komputer terdapat password yang sangat penting.

Trojan File Transfer Protocol (FTP)

Trojan FTP adalah paling sederhana dan dianggap ketinggalan jaman. Satu-satunya fungsi yang dijalankan adalah membuka port 21 di komputer korban yang menyebabkan mempermudah seseorang memiliki FTP client untuk memasuki komputer korban tanpa password serta melakukan download atau upload file.

Keyloggers

Keyloggers termasuk dalam jenis Trojan yang sederhana, dengan fungsi merekam atau mencatat ketukan tombol saat korban melakukan pengetikan dan menyimpannya dalam logfile. Apabila diantara ketukan tersebut adalah mengisi user name dan password, maka keduanya dapat diperoleh penyerang dengan membaca logfile. Trojan ini dapat dijalankan pada saat komputer online maupun offline.

Trojan ini dapat mengetahui korban sedang online dan merekam segala sesuatunya. Pada saat offline proses perekaman dilakukan setelah Windows dijalankan dan disimpan dalam hardisk korban dan menunggu saat online untuk melakukan transfer atau diambil oleh penyerang.

Trojan Penghancur 

Satu-satunya fungsi dari jenis ini adalah untuk menghancurkan dan menghapus file. Trojan penghancur termasuk jenis yang sederhana dan mudah digunakan, namun sangat berbahaya. Sekali terinfeksi dan tidak dapat melakukan penyelamatan maka sebagian atau bahkan semua file sistem akan hilang. Trojan ini secara otomatis menghapus semua file sistem pada komputer korban (sebagai contoh : *.dll, *.ini atau *.exe). Trojan diaktifkan oleh penyerang atau bekerja seperti sebuah logic bomb dan mulai bekerja dengan waktu yang ditentukan oleh penyerang.

Trojan Denial of Service (DoS) Attack

Trojan DoS Attack saat ini termasuk yang sangat populer. Trojan ini mempunyai kemampuan untuk menjalankan Distributed DoS (DDoS) jika mempunyai korban yang cukup. Gagasan utamanya adalah bahwa jika penyerang mempunyai 200 korban pemakai ADSL yang telah terinfeksi, kemudian mulai menyerang korban secara serempak. Hasilnya adalah lalu lintas data yang sangat padat karenapermintaan yang bertubi-tubi dan melebihi kapasitas band width korban. Hal tersebut menyebabkan akses Internet menjadi tertutup. Wintrinoo adalah suatu toolDDoS yang populer baru-baru ini, dan jika penyerang telah menginfeksi pemakai ADSL, maka beberapa situs utama Internet akan collaps. Variasi yang lain darisebuah trojan DoS adalah trojan mail-bomb, tujuan utamanya adalah untuk menginfeksi sebanyak mungkin komputer dan melakukan penyerangan secara serempak ke alamat e-mail yang spesifik maupun alamat lain yang spesifik dengan target yang acak dan muatan/isi yang tidak dapat disaring.

Trojan Proxy/Wingate

Bentuk dan corak yang menarik diterapkan oleh pembuat trojan untuk mengelabui  korban dengan memanfaatkan suatu Proxy/Wingate server yang disediakan untuk seluruh dunia atau hanya untuk penyerang saja. Trojan Proxy/Wingate digunakan pada Telnet yang tanpa nama, ICQ, IRC, dan untuk mendaftarkan domain dengan nomor kartu kredit yang telah dicuri serta untuk aktivitas lain yang tidak sah. Trojan ini melengkapi penyerang dengan keadaan tanpa nama dan memberikan kesempatan untuk berbuat segalanya terhadap komputer korban dan jejak yang tidak dapat ditelusuri.

Software Detection Killers 

Beberapa Trojan telah dilengkapi dengan kemampuan melumpuhkan fungsi software pendeteksi, tetapi ada juga program yang berdiri sendiri dengan fungsi yang sama. Contoh software pendeteksi yang dapat dilumpuhkan fungsinya adalah Zone Alarm, Norton Anti-Virus dan program anti-virus/firewall yang lain berfungsi melindungi komputer. Ketika software pendeteksi dilumpuhkan, penyerang akan mempunyai akses penuh ke komputer korban, melaksanakan beberapa aktivitas yang tidak sah, menggunakan komputer korban untuk menyerang komputer yang lain.

Virus :
Virus komputer merupakan program komputer yang dapat menggandakan atau menyalin dirinya sendiri dan menyebar dengan cara menyisipkan salinan dirinya ke dalam program atau dokumen lain. Virus komputer dapat dianalogikan dengan virus biologis yang menyebar dengan cara menyisipkan dirinya sendiri ke sel makhluk hidup. Virus komputer dapat merusak (misalnya dengan merusak data pada dokumen), membuat pengguna komputer merasa terganggu, maupun tidak menimbulkan efek sama sekali.

Virus komputer umumnya dapat merusak perangkat lunak komputer dan tidak dapat secara langsung merusak perangkat keras komputer (terutama pada sistem operasi , seperti sistem operasi berbasis keluarga Windows (Windows 95, Windows 98/98SE, Windows NT, Windows NT Server, Windows 2000, Windows 2000 Server, Windows 2003, Windows 2003 Server, Windows XP Home Edition, Windows XP Professional, Windows XP Servicepack 1, Windows XP Servicepack 2) bahkan GNU/Linux. Efek negatif virus komputer terutama adalah perbanyakan dirinya sendiri, yang membuat sumber daya pada komputer (seperti CPU Time, penggunaan memori) menjadi berkurang secara signifikan. Hampir 95% Virus adalah virus komputer berbasis sistim operasi Windows. Sisanya, 2% menyerang Linux/GNU (dan Unix, sebagai source dari Linux, tentunya), 1% menyerang Mac terutama Mac OS 9, Mac OS X (Tiger, Leopard). 2% lagi menyerang sistim operasi lain seperti FreeBSD, OS/2 IBM, dan Sun Operating System.

Serangan virus dapat dicegah atau ditanggulangi dengan menggunakan perangkat lunak antivirus. Jenis perangkat lunak ini dapat juga mendeteksi dan menghapus virus komputer, asalkan basis data virus komputer yang dimiliki oleh perangkat lunak antivirus telah mengandung kode untuk menghapus virus tersebut.

Contoh virusnya adalah Worm, Trojan, dll. Contoh antivirus yang bisa diandalkan dan menangkal virus adalah KasperSky, AVG, AntiVir, PCMAV, Norton, Norman, dan McAfee.

Worm :
Worm adalah jenis virus yang tidak menginfeksi program lainnya.
Ia membuat copy dirinya sendiri dan menginfeksi komputer lainnya (biasanya menggunakan hubungan jaringan) tetapi tidak mengkaitkan dirinya dengan program lainnya; akan tetapi sebuah worm dapat mengubah atau merusak file dan program.

Backdoor :
Backdoor atau “pintu belakang”, dalam keamanan sistem komputer, merujuk kepada mekanisme yang dapat digunakan untuk mengakses sistem, aplikasi, atau jaringan, selain dari mekanisme yang umum digunakan (melalui proses logon atau proses autentikasi lainnya). Disebut juga sebagai back door.

Backdoor pada awalnya dibuat oleh para programer komputer sebagai mekanisme yang mengizinkan mereka untuk memperoleh akses khusus ke dalam program mereka, seringnya digunakan untuk membenarkan dan memperbaiki kode di dalam program yang mereka buat ketika sebuah crash akibat bug terjadi. Salah satu contoh dari pernyataan ini adalah ketika Kenneth Thompson (salah seorang pemrogram sistem operasi UNIX membuat sebuah program proses login pada tahun 1983 ketika memperoleh Turing Award)

Spyware  :

Virus yang memantau komputer yang terinfeksi.

Rogue :

merupakan program yang meniru program antivirus dan menampilkan aktivitas layaknya antivirus normal, dan memberikan peringatan-peringatan palsu tentang adanya virus. Tujuannya adalah agar pengguna membeli dan mengaktivasi program antivirus palsu itu dan mendatangkan uang bagi pembuat virus rogue tersebut. Juga rogue dapat membuka celah keamanan dalam komputer guna mendatangkan virus lain.

Rootkit :

Virus yang bekerja menyerupai kerja sistem komputer yang biasa saja.

Polymorphic virus :

Virus yang gemar beubah-ubah agar tidak dapat terdeteksi.

Metamorphic virus :

Virus yang mengubah pengkodeannya sendiri agar lebih sulit dideteksi.

Virus ponsel :

Virus yang berjalan di telepon seluler, dan dapat menimbulkan berbagai macam efek, mulai dari merusak telepon seluler, mencuri data-data di dalam telepon seluler, sampai membuat panggilan-panggilan diam-diam dan menghabiskan pulsa pengguna telepon seluler.

Virus-virus komputer yang melegenda

1. Virus Jerusalem
Kenapa dinamakan Jerusalem? Soalnya virus ini pertama kali ditemukan pada tanggal 1 Oktober 1987 di sebuah Universitas yang bernama Universitas Jerusalem. Setelah diteliti lebih lanjut oleh ahli-ahli antivirus di tahun 1991, diketahui bahwa virus itu pertama kali menyerang negara Italia. Virus ini juga dikatakan sebagai virus tertua dalam sejarah pervirusan dan perkomputeran, soalnya virus ini salah satu virus pertama yang bisa menginfeksi file dengan ekstensi .com dan .exe.

2. Morris (Worm)
Virus yang satu ini kalian pasti sudah pernah mendengarnya, namanya Virus Worm. Worm dikatakan sebagai worm pertama yang mampu menyebar melalui jaringan internet. Nama virus ini dibuat berdasarkan nama sang pencipta yang bernama Robert Tappan Morris, dia merupakan seorang mahasiswa berasal dari Cornell University. Virus ini pertama kali ditemukan tanggal 2 November 1988, dan berhasil menginfeksi 6000 sampai 9000 komputer. Dan akhirnya Morris sendiri ditangkap dan diadili dengan hukuman 3 thaun penjara dan juga denda sebesar 10.000 dollar AS.

3. Virus Barrotes
Virus ini diduga-duga berasal dari Spanyol. Virus ini sudah menyerang di tahun 1993 dan cukup membuat resah, pasalnya virus ini mampu menginfeksi file COm dan EXE. Bahkan virus ini mampu menyerang Master Boot Record dari harddisk, jadi si pengguna akan sulit dalam mengaksesnya.

4. Solar Sunrise
Sebenarnya bukan sebuah nama virus, tapi suatu keadaan dimana pada saat itu kelompok hacker bisa meretas dan menguasai 500 sistem komputer di Amerika di tahun 1988. Mereka berhasil menguasai komputer milik militer AS, badan pemerintahan hingga swasta. Virus ini dapat menyerang sistem operasi Solaris yang dikembangkan oleh Sun.

5. Virus Chernobyl (CIH)
Virus ini adalah satu satu virus yang cukup melegenda, soalnya sudah menimbulkan kerugian yang amat besar. Kerusakan dna juga kerugian yang disebabkan virus ini mencapai 20 sampai 80 juta dollar AS di seluruh dunia. Akhirnya virus ini pun diketahui berasal dari Taiwan dan dianggap sebagai virus paling berbahaya dalam sejarah pervirusan dan perkomputeran. Virus ini mampu menginfeksi windows 95, 98 dan juga ME (Millenium Edition). Nama Chernobyl diambil karena kerusakan yang diakibatkan virus ini dan juga bersamaan dengan meledaknya reaktor nuklir di Chernobyl.

6. Virus Melissa
Virus ini pertama kali ditemukan pada tanggal 26 Maret 1999 dan membuat kerugian mencapai 300 sampai 600 juta dollar AS. Para ahli antivirus mengatakan jika virus Melissa ini sudah menginfeksi 15-20% semua komputer bisnis di dunia. Cara virus ini menyebar melalui Microsoft Outlook lalu akan mengirimkan email duplikasi virus ke 50 orang yang ada pada kontak email.

7. Virus ILOVEYOU
Virus ini merupakan worm yang paling berbahaya dalam sejarah virus komputer. Pasalnya virus ini sudah membuat kerugian mencapai angka 5,5 miliar dollar AS. Pertama kali virus ini ditemukan adalah di Filipina, kemudian menyebar melalui internet keseluruh dunia, dan hal itu terjadi hanya dalam waktu satu hari saja sudah bisa menginfeksi 10% pengguna internet diseluruh dunia. Nama virus ini diambil dari nama subject email yang menjadi alat penyebaran worm ini.

8. Virus worm Netsky-D

http://vaksin.com/history/netsky_d2.htm

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s