12/4/2010 2010 - Busran, Teknik Informatika ITP Padang Malicious Programs program-program yang berpotensi untuk jahat yang digunakan untuk mengeksploitasi kelemahan sistem Komputer. Medianya : pertukaran file, email, utility, program program ujicoba dan lainnya Ancaman tersebut dibedakan menjadi : Need Host Program program program yang membutuhkan Program Induk, Fragment program tidak dapat berjalan secara Mandiri, misalnya program Utilitas, program sistem Independent Program program mandiri yang dapat dijadualkan dan dijalankan oleh sistem operasi 1
12/4/2010 Malicious Programs Need Host Programs TrapDoor Independent Programs Virus Bacteria LogicBom Worm Trojan Horse Titik masuk ke sistem tak terdokumentasi rahasia di suatu program untuk memberikan akses tanpa otentikasi normal. Awalnya dipakai untuk mencari titik-titik kesalahan program. Akan menjadi ancaman jika digunakan untuk memperluas akses yang tidak disyahkan. Kode Bit logik yang ditempelkan pada potongan program agar memeriksa suatu kumpulan kondisi sistem. Ketika kondisi-kondisi terpenuhi, maka bit logik akan menjalankan fungsi yang menghasilkan aksi-aksi tak terotorisasi, misalnya menghapus data atau file yang menyebabkan mesin berhenti. 2
Rutin program yang tidak terdokumentasi rahasia ditempelkan pada suatu program. Program tersebut mengandung kode kode tersembunyi yang ketika dijalankan akan melakukan suatu fungsi yang tidak diinginkan Eksekusi Program tersebut akan menyebabkan eksekusi rutin program tersebut. Kebanyakan Trojan Horse mengubah sistem attribut file sehingga file2 tersebut tidak dapat dibacab oleh pengguna lainnya 3
Kode program yang ditempelkan pada program induk yang mampu menggandakan dirinya untuk disisipkan ke satu program lainnya atau lebih. Penginfeksian program lainnya dilakukan dengan memodivikasi program tersebut. Modivikasi tersebut termasuk memasukan duplikasi virus yang kemudian dapat menginfeksi program lainnya. Program yang mengkonsumsi sumber daya sistem dengan mereplikasi dirinya sendiri. Secara eksplisit tidak merusak file Bereproduksi secara eksponensial dengan cepat mengambil alih seluruh kapasitas proses, memori atau ruang disk, mengakibatkan penolakan pengaksesan pemakai ke sumber daya Program yang dapat mereplikasi dirinya dan mengirimkan duplikasinya tersebut lewat hubungan jaringan antar komputer Network worm menggunakan jaringan untuk menyebarkan dari sistem ke sistem lainnya, sekali aktif disuatu sistem network worm dapat berlaku seperti virus, backteria atau trojan horse yang melakukan sejumlah aksi yang menjengkelkan bahkan menghancurkan 4
12/4/2010 Untuk dapat menduplikasi dirinya di jaringan worm memerlukan beberapa aktifitas kecil dijaringan yang biasa dilakukan antara lain : Fasilitas E-mail : worm mail akan menduplikasi dirinya ke system lainnya. Remote Execution : worm akan mengeksekusi duplikasinya ke sistem lainnya Remote Login : Worm logon ke sistem sebagai user dan akan menggunakan perintah system tersebut untuk menggandakan dirinya ke yang lainnya Termasuk malicious program need host yang mampu melakukan apa saja diluar kemampuan program legalnya. Aktiv di sistem memory dengan beberapa tahap, Dormant phase, Propagation Phase, Triggering Phase dan Execution Phase Program V; { goto main; 1234567; subroutine infetc-executable-file:= {loop; file:=get-random-executable-file; if (first-line-of-file = 1234567) then goto loop else prepend V to file;} subroutine do-damage := {whatever damage is to be done} sub routine trigger-pulled:= {return true if some condition holds} Main : main-program := {infect-executable; if trigger-pulled then do-damage; goto next } Next: } 5
Dormant Phase (Tahap Tidur) Propagation Phase (Tahap Propagasi) masa ini virus menempatkan kode identifikasi duplikasinya pada program lain pada system area dari disk atau memori Triggering Phase(Tahap Pemicu) pada tahap ini virus akan mengaktifkan kode kode yang dapat memicu fungsi utamanya dan mencoba menggandakan dirinya ke system lainnya Execution Phase (Tahap Eksekusi) pada tahap ini virus menjalan fungsi utamanya, fungsi ini dapat saja mematikan sistem, menampilkan pesan di layar atau merusak data atau program atau file. Parasitic Virus : Virus yang menginfeksi dan menyerang file-file Executable, untuk penyebarannya virus ini mencari file-file EXEC lainnya. Virus ini tergolong virus lama dan merupakan bentuk paling banyak dari bentuk bentuk virus Memory-Resident Virus : Virus ini berdiam pada memori utama sebagai bagian dari Program Sistem Resident, dari sini virus akan menginfeksi program program yang akan dijalankan, 6
Boot Sector Virus : Virus yang khusus menyerang dan menginfeksi MBR ketika sistem dibooting. Stealth Virus : Virus yang khusus dirancang secara eksplisit mampu menyembunyikan diri dari program Anti Virus, Menempatkan logic trigger pada program lain. Polymorphic Virus : Virus yang selalu Bermutasi setiap Menginfeksi, sehingga sangat susah di deteksi dengan Anti Virus Virus Macro merupakan bagian dari ancaman keamanan karena : Platform nya Independent. Virus Macro merupakan virus yang menginfeksi File MS.Word dan semua sistem operasi yang mendukung file ini. Virus Macro hanya menginfeksi File Dokument bukan file EXEC, kebanyakan dari pengantar informasi sebuah komputer adalah dalam bentuk dokumen Virus Macro Sangat Mudah menyebar, kenyakan melalui e-mail. Virus Macro mengambil keuntungan dari Fitur yang ada pada Word atau Excell, yaitu macro. Macro merupakan program executable yang ditambahkan pada pengolah data atau kata. 7
Autoexecute : makro ini dibuat untuk berjalan secara otomatis ketika sebuah program dibuat, misalnya : Normal.dot Automacro : sebuah automacro akan menjalankan kejadian kejadian yang sesuai dengan yang didefenisikan termasuk menutup dan membuka dokumen, membuat dokumen baru. Command Macro : sebuah macro yang sudah dimuat ke sistem memori, user dapat memanfaatkannya dengan mengetikkan perintah perintah yang ada pada macro tersebut Ide yang baik untuk mencegah serangan virus adalah dengan Anti Virus Secara umum mempunyai mekanisme yaitu Detection : mencocokkan struktur yang menginfeksi dan mealoksikannya. Indentification : Setelah dideteksi, kemuadian mengenali ciri ciri virus yang menginfeksi program tersebut. Removal : setelah dikenali, kemudian menghapus semua alur virus tersebut dari program yang terinfeksi dan mengembalikan file tersebut ke kondisi awal. Jika Deteksi berhasil tetapi tidak mampu mengenali atau kemungkinan tidak dapat dihapus, kemungkinan lain adalah menghancurkan program tersebut dan menggantikannya dengan backup 8
Simple Scanner s: Pelacakan in i membutuhkan pengenal virus untuk dikenali. Heuristic Scanners : pelacakan virus tidak mesti dengan pengenal virus tetapi dapat dilakukan dengan aturan aturan untuk mencari kemungkinan infeksi virus. Activity Trap : program resident yang ada di memori dapat diidentifikasi sebagai virus berdasarkan aktivitas nya Full-Featured Protection : yaitu dengan menggunakan paket program yang consiten dan berkesinambungan menangani virus, ini termasuk Pelacakan dan pemutusanaktivitas Carilah salah satu jenis Virus/Worm yang saat ini menempati tempat teratas, analisa sehubungan Mekanisme, Efek/Akibat nya serta metode pencegahannya. 9