WORM
Worm atau cacing komputer dalam keamanan
komputer, adalah sebutan untuk sebuah program yang menyebarkan dirinya di dalam
banyak komputer, dengan menggandakan dirinya dalam memori setiap komputer yang
terinfeksi. Sebuah worm dapat menggandakan dirinya dalam sebuah sistem komputer
sehingga dapat menyebabkan sistem tersebut mengalami crash sehingga
mengharuskan server harus di-restart.
Beberapa worm juga menghabiskan bandwidth yang
tersedia. Worm merupakan evolusi dari virus komputer. Virus komputer memang
dapat menginfeksi berkas-berkas dalam sebuah sistem komputer, tapi worm dapat
melakukannya dengan lebih baik. Selain dapat menyebar dalam sebuah sistem, worm
juga dapat menyebar ke banyak sistem melalui jaringan yang terhubung dengan
sistem yang terinfeksi.
Beberapa worm, juga dapat mencakup kode-kode
virus yang dapat merusak berkas, mencuri dokumen, e-mail, atau melakukan hal
lainnya yang merusak, atau hanya menjadikan sistem terinfeksi tidak berguna. Beberapa
contoh dari worm adalah sebagai berikut: “ADMw0rm
: Worm yang dapat melakukan ekspolitasi terhadap layanan jaringan Berkeley
Internet Name Domain (BIND), dengan melakukan buffer-overflow” ,
“Code Red : Worm yang dapat melakukan eksploitasi
terhadap layanan Internet Information Services (IIS) versi 4 dan versi 5,
dengan melakukan serangan buffer-overflow” .
Info Malware
Nama : ViewFiles
Asal : kemungkinan dari Alabama
Ukuran File : 168 KB (172,032 bytes)
Packer : -
Pemrograman : Visual Basic
Icon : Aplikasi Visual Basic
Tipe : Worm
Tentang Malware
Selain shortcut yang sedang ramai dibuat oleh beberapa worm belakangan ini, icon aplikasi Visual Basic juga menjadi salah satu ciri worm yang mulai banyak di laporkan sejak Agustus 2010 kemarin. Begitu juga yang dilakukan olah pembuat worm ViewFiles. Namanya diambil dari nama induknya yang menyebar di flash disk dan diberi nama ViewFiles.exe.
File yang dibuat
Pada komputer yang terinfeksi, worm ViewFiles akan membuat file autorun dan file companion pada flash disk yang nantinya akan di panggil oleh autorun.
Isi dari autorun akan selalu berubah seperti contoh di bawah ini, hal ini di maksudkan untuk mengecoh pendeteksian oleh antivirus akan tetapi beberapa penting bagian tidak pernah dirubah oleh worm ini.
Hasil Infeksi
Worm ViewFiles akan bersembunyi di dalam folder RECYCLER dan membuat folder yang hampir sama seperti isi folder RECYCLER seperti gambar di bawah ini.
Agar bisa berjalan saat startup, worm ini membuat key dengan nama Taksman pada:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
Beberapa web server lain dijadikan alternatif antara lain Apache, yang notabene merupakan web server yang paling banyak digunakan, menurut data Netcraft. Memang dengan menggunakan web server Apache, kerusakan yang diakibatkan oleh virus/worm tersebut bisa ditekan atau bisa dikatakan tidak berdampak langsung. Namun perlu diperhatikan bahwa memang virus/worm tersebut tidak menyerang lubang keamanan, tapi dapat juga mengakibatkan kerusakan atau paling tidak membebani kerja web server.
Hal ini antara lain dengan mebludaknya ukuran log file oleh sampah akibat serangan2 virus/worm. Ada kasus dimana terdapat sekitar 20000 entri dalam log selama 2 hari yang hanya diakibatkan karena aktivitas virus/worm dalam jaringan/Internet.
Web server menjadi sangat sibuk dan berat. Ini terlebih-lebih jika situs yang bersangkutan menggunakan halaman error 404 khusus (not found). Ini berarti setiap ada akses yang diakibatkan oleh virus/worm ke situs tersebut, halaman error 404 akan ditampilkan. Bayangkan jika halaman tersebut berukuran besar. Ini akan menambah traffic web server secara percuma.
Setelah melakukan riset pada log file Apache dan melihat banyaknya akses ke halaman error 404 tersebut (yang ikut menambah traffic web server) yang diakibatkan oleh virus/worm, ada cara untuk mengurangi traffic akibat serangan ini.
Sebagai contoh, di bawah ini diambil dari log file, berisi URL yang sering diakses oleh virus/worm. Nampak jelas bahwa sebetulnya ini dibuat dalam rangka menyerang web server IIS.
/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c/winnt/system32/cmd.exe
/d/winnt/system32/cmd.exe
/scripts/..%2f../winnt/system32/cmd.exe
/scripts/..%c1%9c../winnt/system32/cmd.exe
/scripts/..%%35%63../winnt/system32/cmd.exe
/scripts/ .%%35c../winnt/system32/cmd.exe
/scripts/..%c0%2f../winnt/system32/cmd.exe
/scripts/..%c0%af../winnt/system32/cmd.exe
/MSADC/root.exe
Pengertian Dan Cara Kerja Virus Worm ALABAMA
Info Malware
Nama : ViewFiles
Asal : kemungkinan dari Alabama
Ukuran File : 168 KB (172,032 bytes)
Packer : -
Pemrograman : Visual Basic
Icon : Aplikasi Visual Basic
Tipe : Worm
Tentang Malware
Selain shortcut yang sedang ramai dibuat oleh beberapa worm belakangan ini, icon aplikasi Visual Basic juga menjadi salah satu ciri worm yang mulai banyak di laporkan sejak Agustus 2010 kemarin. Begitu juga yang dilakukan olah pembuat worm ViewFiles. Namanya diambil dari nama induknya yang menyebar di flash disk dan diberi nama ViewFiles.exe.
File yang dibuat
Pada komputer yang terinfeksi, worm ViewFiles akan membuat file autorun dan file companion pada flash disk yang nantinya akan di panggil oleh autorun.
Isi dari autorun akan selalu berubah seperti contoh di bawah ini, hal ini di maksudkan untuk mengecoh pendeteksian oleh antivirus akan tetapi beberapa penting bagian tidak pernah dirubah oleh worm ini.
Hasil Infeksi
Worm ViewFiles akan bersembunyi di dalam folder RECYCLER dan membuat folder yang hampir sama seperti isi folder RECYCLER seperti gambar di bawah ini.
Agar bisa berjalan saat startup, worm ini membuat key dengan nama Taksman pada:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
Akibat Virus Worm
Seringkali disebutkan dalam banyak artikel bahwa keamanan web server Microsoft IIS dijadikan bulan-bulanan virus/worm, seperti CodeRed dan Nimda, yang sering mengakibatkan kerusakan yang cukup serius atau fatal. Ada banyak artikel yang menjelaskan bagaimana menutup lubang keamanan dan cara-cara mencegah kerusakan di kemudian hari.Beberapa web server lain dijadikan alternatif antara lain Apache, yang notabene merupakan web server yang paling banyak digunakan, menurut data Netcraft. Memang dengan menggunakan web server Apache, kerusakan yang diakibatkan oleh virus/worm tersebut bisa ditekan atau bisa dikatakan tidak berdampak langsung. Namun perlu diperhatikan bahwa memang virus/worm tersebut tidak menyerang lubang keamanan, tapi dapat juga mengakibatkan kerusakan atau paling tidak membebani kerja web server.
Hal ini antara lain dengan mebludaknya ukuran log file oleh sampah akibat serangan2 virus/worm. Ada kasus dimana terdapat sekitar 20000 entri dalam log selama 2 hari yang hanya diakibatkan karena aktivitas virus/worm dalam jaringan/Internet.
Web server menjadi sangat sibuk dan berat. Ini terlebih-lebih jika situs yang bersangkutan menggunakan halaman error 404 khusus (not found). Ini berarti setiap ada akses yang diakibatkan oleh virus/worm ke situs tersebut, halaman error 404 akan ditampilkan. Bayangkan jika halaman tersebut berukuran besar. Ini akan menambah traffic web server secara percuma.
Setelah melakukan riset pada log file Apache dan melihat banyaknya akses ke halaman error 404 tersebut (yang ikut menambah traffic web server) yang diakibatkan oleh virus/worm, ada cara untuk mengurangi traffic akibat serangan ini.
Sebagai contoh, di bawah ini diambil dari log file, berisi URL yang sering diakses oleh virus/worm. Nampak jelas bahwa sebetulnya ini dibuat dalam rangka menyerang web server IIS.
/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c/winnt/system32/cmd.exe
/d/winnt/system32/cmd.exe
/scripts/..%2f../winnt/system32/cmd.exe
/scripts/..%c1%9c../winnt/system32/cmd.exe
/scripts/..%%35%63../winnt/system32/cmd.exe
/scripts/ .%%35c../winnt/system32/cmd.exe
/scripts/..%c0%2f../winnt/system32/cmd.exe
/scripts/..%c0%af../winnt/system32/cmd.exe
/MSADC/root.exe
TROJAN
Trojan adalah satu program “pemusnah” yang
tidak dapat men-duplikasi dirinya sendiri. Program ini dilihat seperti amat
berguna tetapi sebenarnya tidak. boleh dikatakan seperti “musuh dalam selimut”.
Perkataan “Trojan” ini wujud dari satu mitos
dari Greek. Pada masa peperangan dengan pihak Troy (Trojan), Greek telah
meletak sebuah kuda kayu di luar pintu pagar kota Troy. Pihak Troy beranggapan
bahawa Greek telah memberikan hadiah sebagai tanda kekalahan. Dan Troy membawa
masuk kuda itu ke dalam kota mereka. Apabila malam menjelma, tentera-tentera
Greek yang telah bersembunyi di dalam kuda itu keluar dan membuka pintu kota
dan membolehkan tentera-tentera Greek masuk ke kota Troy dan menghancurkan kota
itu. Situasi ini samalah dengan program Trojan ini. Di mana, seperti amat
berguna dan menarik. Tetapi kemusnahan yang dibawa adalah lebih buruk. Anda
boleh dijangkiti trojan apabila anda menerima atau mendownload program-program
dari Instant Messenging, warez, email attachment dan lain-lain lagi. Untuk
membuang program trojan ini amat mudah.
Anda hanya perlu mendelete program itu sendiri.
Beberapa
hari yang lalu saya sangat dipusingkan dengan penyakit Komputer saya
yaitu virus yang sangat mengganggu dan menyebalkan, berulang-ulang sudah
saya scan dengan anti virus avira, Avast namun tidak juga mau hengkang
dari perangkat komputer saya.
Solusi Untuk Trojan
dengan cara instal ulang OS-nya. Karena antivirus jenis
apapun tidak bisa mendeteksi induk trojan tersebut. Nah yang ke-3 ini
bikin puyeng soalnya cara diatas tidak bisa digunakan lagi,
setiap terkoneksi dengan internet pasti trojan tersebut membuat file dan
berkembang biak setiap beberapa menit di C:\WINDOWS\TEMP\xxxx.tmp dan C:\WINDOWS\TEMP\xxxx.tmp\svchost.exe
Permasalahan trojan tersebut ternyata banyak juga yang mengalaminya, ada banyak solusi antara lain dari menggunakan MalwareByte sampai HiJack This pun tidak mempan mengatasi trojan itu. Mengenai Hijack This banyak sekali yang merekomendasikan untuk digunakan, padahal untuk kasus ini tidak bisa pakai scan HJT…lha wong saya nyoba bolak balik tidak ada’ trojan yang tertangkap dari hasil scan. Yang ada malah beberapa kali salah menghapus program yang seharusnya tidak bermasalah, sekali lagi Hijack This tidak direkomendasikan untuk trojan ini dan jika tetap dipakai bakalan membuat kepala semakin tambah pusing dengan sederetan log scan yang tidak ada gunanya.
Kemudian pada malam ke-2 proses mencari cara untuk menghilangkan trojan itu akhirnya menemukan titik pencerahan, yaitu dengan menggunakan Hitman Pro 3. Aplikasi yang bisa mengidentifikasi serta melokalisir virus, spyware, trojan, rootkits, maupun malware jenis lainnya ini kerjanya setelah proses scanning dan menemukan file-file yang mencurigakan maka secara otomatis akan mengunggah (upload) tersebut ke servernya dan diidentifikasi.
Pada kasus saya ini ternyata trojan tersebut bersembunyi di C:\WINDOWS\system32\drivers\ dengan file berekstensi .sys (nvata.sys). Setelah file tersebut dihapus sampai sekarang tidak pernah keluar lagi peringatan dari antivirus.
Akibat Virus Trojan
Dengan ketidak berdayaan saya
pada virus tersebut akhirnya saya berselancar ke berbagai blog untuk
mencari pencerahan mengenai pemberantasan virus sang pengganggu
itu.Setelah jalan-jalan ke berbagai blog akhirnya ketemu juga sang
pencerah yang mana di blog itu menerangkan secara detail cara dan
penghapusan virus trojan.
Ternyata penghapus virus trojan
itu adalah Laoris Trojan Remover,Trojan Remover ini adalah program yang
dirancang secara khusus untuk me-nonaktifkan atau menghilangkan Malware
tanpa harus secara manual mengedit file sistem atau registry. Program
ini juga akan meng-scan semua file saat boot yang dihinggapi adware,
Spyware, Remote Acces Trojan, Worm Internet atau Malware lainnya
Solusi Untuk Trojan
Permasalahan trojan tersebut ternyata banyak juga yang mengalaminya, ada banyak solusi antara lain dari menggunakan MalwareByte sampai HiJack This pun tidak mempan mengatasi trojan itu. Mengenai Hijack This banyak sekali yang merekomendasikan untuk digunakan, padahal untuk kasus ini tidak bisa pakai scan HJT…lha wong saya nyoba bolak balik tidak ada’ trojan yang tertangkap dari hasil scan. Yang ada malah beberapa kali salah menghapus program yang seharusnya tidak bermasalah, sekali lagi Hijack This tidak direkomendasikan untuk trojan ini dan jika tetap dipakai bakalan membuat kepala semakin tambah pusing dengan sederetan log scan yang tidak ada gunanya.
Kemudian pada malam ke-2 proses mencari cara untuk menghilangkan trojan itu akhirnya menemukan titik pencerahan, yaitu dengan menggunakan Hitman Pro 3. Aplikasi yang bisa mengidentifikasi serta melokalisir virus, spyware, trojan, rootkits, maupun malware jenis lainnya ini kerjanya setelah proses scanning dan menemukan file-file yang mencurigakan maka secara otomatis akan mengunggah (upload) tersebut ke servernya dan diidentifikasi.
Pada kasus saya ini ternyata trojan tersebut bersembunyi di C:\WINDOWS\system32\drivers\ dengan file berekstensi .sys (nvata.sys). Setelah file tersebut dihapus sampai sekarang tidak pernah keluar lagi peringatan dari antivirus.
cara kerja masing-masing virus??
BalasHapusmega : menggandakandiri itu bukane cara kerja ?
BalasHapus