Proses recovery dipertimbangkan sebagai salah satu upaya untuk
memperlambat penyebaran worm. Dengan memulihkan kondisi sistim
yang terinfeksi setidaknya akan mengurangi sebuah penyebaran baru dari
worm. Beberapa metode berikut adalah upaya dalam melakukan recovery
terhadap serangan worm.
Anti-worms—Walaupun bersifat ilegal dan kurang praktis, sebuah
anti-worm atau ’worm putih’ dapat menutupi security holes dan
membatasi ruang-gerak worm jenis lain. Terlihat sangat atraktif namun
beberapa batasan signifikan membuatnya bersifat tidak praktis, selain
itu faktor hukum membuat anti-worm tidak dibenarkan secara hukum.
Batasan yang signifikan dari anti-worm adalah keterbatasannya untuk
memperbaiki kerusakan yang ditimbulkan oleh satu jenis worm saja.
Sekurang-kurangnya terdapat 3 (tiga) macam anti-worm yang pernah
ada di Internet: Cheese worm, yang menyebar dengan menggunakan
backdoor yang dibuat oleh 1ion worm, Code Green, yang memanfaatkan
hole yang dibuat oleh CodeRed II, dan CRClean yang memberikan respon
terhadap serangan CodeRed II.
Distribution patch dan update—Metode recovery dengan mendis-
tribusikan patch update untuk program-program yang vulnerable pada
sebuah sistim komputer dinilai sebagai metode yang efektif. Proses
distribusi dapat dilakukan oleh vendor software maupun adminstrator
yang menangani sejumlah besar host pada LAN atau WAN.
Salah satu kekurangan metode ini adalah ketika intruder dapat meng-
gunakan worm untuk menguasai sejumlah besar host dan melakukan
DOS ke host lain yang akan melakukan respon terhadap serangan worm
tersebut. Target dari DOS biasanya adalah vendor dari program-program
yang vulnerable dan dimanfaatkan oleh worm.
Rabu, 10 Desember 2008
Recovery
RESPON
Malware seperti worm dan virus dapat menyebar lebih cepat dari
pada kemampuan manusia untuk menganalisa dan meresponinya.
Sebuah strategi pertahanan yang baik menghadapi worm haruslah dapat
dilakukan secara otomatis. Sebuah respon otomatis dapat memperlambat
dan membatasi ruang-gerak worm.
Respon otomatis yang diberikan biasanya berupa blocking terhadap
aktifitas worm.
Kelemahan respon otomatis yang umum adalah
terjadinya respon terhadap false positive dan false negative. False positive
adalah situasi dimana respon diberikan namun tidak terjadi indikasi
adanya worm, sementara false negative adalah situasi dimana worm benar-
benar menyerang namun respon tidak diberikan.
Keputusan untuk menanggapi keberadaan worm pada network
haruslah bijak. Berarti dalam pengambilan sebuah keputusan tersebut
haruslah berdasarkan analisa teknis yang melibatkan banyak aspek
seperti statistik, usage policy, maupun security advisory.
Host Response—Sebuah proses respon pada sistim komputer akan
melibatkan personal firewall yang mampu membaca alerts yang diha-
silkan oleh host-based IDS. Pada level ini, respon yang diberikan dapat
menjadi lebih efektif dalam membendung aktifitas worm.
Network Response—Respon pada level ini haruslah memungkinkan
untuk mengkombinasikan teknik blocking ketika mendapat alert dan
mampu memilah kelas dari trafik yang diduga sebagai worm yang sedang
menyebar. Network-based IDS seperti snort dan prelude dapat digunakan
untuk mengidentifikasi keberadaan worm dengan menganalisa network
traffic secara pasif.
ISP Response—Walaupun tingkat kesulitan dalam melakukan respon
otomatis pada level ini cukup tinggi, namun proteksi dengan skala sistim
yang lebih besar dapat menjadi pertimbangan. Implementasi respon
otomatis pada level ISP haruslah terlebih dahulu teruji dengan baik
karena terjadinya false positive dan false negative dapat dengan mudah
terjadi.
DETEKSI PADA NETWORK
Deteksi pada LAN atau WAN—Sebuah mesin yang terinfeksi oleh
worm akan menghasilkan trafik scanning yang dapat dideteksi. Proses
deteksi dapat dilakukan pada gateway atau IDS yang diletakkan diantara
gateway dan LAN atau WAN.
Deteksi pada level ISP atau Backbone—Telah diketahui bahwa untuk
menyebarkan dirinya sebuah umumnya worm melakukan proses scan-
ning terlebih dahulu untuk menemukan target yang baru. Meningkatnya
network traffic ISP atau backbone secara dramatis dapat mengindikasikan
bahwa worm telah menyerang network tersebut.
Mendeteksi Internet Worms
Sebuah firewall telah dikembangkan sebagai alat untuk mendeteksi
anomali traffic yang berasal dari Internet dan menghasilkan logfile yang
memberikan peringatan bahwa worm menyerang dengan sebuah port
tertentu sebagai target. Firewall dapat melakukan blocking akses sampai
administrator melakukan analisis dan recovery jika diperlukan.
Masalah yang umum ditemukan dalam melakukan respon otomatis
secara akurat adalah mendeteksi dan menganalisa sebuah worm yang
sedang beroperasi dan menginfeksi ke sebuah network. Bagian ini
mendiskusikan strategi-strategi yang telah eksis maupun baru dalam
mendeteksi keberadaan sebuah worm.
Detektor dapat berupa sebuah komputer atau device lain yang berdiri
sendiri, terletak pada DMZ (De-Militarized Zone), atau pada sebuah
backbone, yang memiliki kemampuan mendeteksi secara lokal atau
terpusat. Apapun detektor yang digunakan haruslah sensitif dalam
skala network yang besar untuk mengurangi false positives dan false
negatives. Detektor dapat dikatakan berhasil jika mampu mendeteksi
kejadian anomali dari beberapa tipe worm, kejadian anomali tersebut
dapat diketahui dari pola trafik yang dihasilkan sebagai konsekuensi dari
teknik penyebaran worm tersebut.
3.1 Deteksi pada Host
Host detection—Program peer-to-peer maupun protokol Windows sha-
ring dapat digunakan sebagai medium penyebaran worm, akibatnya
mekanisme query worm sama seperti yang dihasilkan oleh program
peerto-peer ’biasa’.
Hal tersebut menyebabkan proses deteksi pada
network-level akan mengalami kesulitan kecuali implementasi IDS dila-
kukan untuk mengenali pola-pola tersebut. Dalam implementasinya, IDS
akan menganalisa pola-pola tertentu pada trafik berdasarkan signature
database yang dimilikinya.
Anti-virus Behavior Blocking—Behavior blocking adalah teknik yang
digunakan anti-virus dalam menghentikan program-program jahat dalam
melakukan aksinya. Walaupun dinilai sebagai upaya yang berhasil,
teknik ini tidak diberdayakan secara luas karena faktor usability dan false
positives.
Wormholes dan Honeyfarms—Sebuah honeypot adalah sebuah host
yang ditujukan untuk dikuasai oleh intruder dalam upaya mendeteksi
dan menganalisa perilaku intruder.
Honeypot yang didistribusikan
pada sebuah network (honeynet) dapat membentuk detektor yang akurat
kecuali faktor harga (terutama hardware dan admistration costs) menjadi
faktor penghalang diimplementasikannya honeynet.
Sebagai contoh implementasi honeypot yang ’hemat’ adalah dengan
membuat sebuah honeypot system pada network yang terpisah dari
workstations atau server dan melakukan traffic redirection pada port-port
tertentu, yang diduga sebagai trafik yang digunakan oleh worm untuk
menyebar, ke honeypot tersebut. Sebuah honeypot dapat menggunakan
teknologi ’virtual machine’ untuk membuat image dari banyak sistim yang
vulnerable.
Muatan (Payload)
Berkaitan dengan motivasi penyebaran, muatan yang ada pada sebuah
worm dapat beragam. Berikut ini adalah muatan yang sering ditemukan
pada worm.
Tanpa muatan atau non-fungsional—Sebuah worm yang memiliki
bug pada kode program yang berhubungan metode penyebaran biasanya
gagal untuk menyebar, namun worm yang memiliki bug pada muatannya
tetap dapat menyebar dan menimbulkan efek serius seperti peningkatan
network traffic atau secara aktif melakukan identifikasi host yang
vulnerable.
Backdoor—Worm CodeRed II membuat sebuah backdoor pada host
korban yang memungkinkan semua orang dapat mengeksekusi program
pada korban dari sebuah browser. Hal tersebut juga memicu peningkatan
serangan worm anti-CodeRed yang berusaha mengeksploitasi backdoor
tersebut.
Remote DOS—Muatan umum dari worm adalah kemampuan untuk
melakukan serangan DoS (Denial of Service). Worm tersebut memiliki
tool yang dapat melakukan serangan terhadap sebuah target yang sudah
ditentukan atau tergantung pada komando seseorang yang membuatnya
mampu melakukan serangan DDoS (Distributed Denial of Service).
Melakukan update—Sejumlah worm terdahulu seperti W32/Sonic
memiliki muatan untuk melakukan update. W32/Sonice melakukan pro-
ses query terhadap sejumlah website untuk mendapatkan kode program
yang baru bagi dirinya. Kemampuan ini dapat digunakan oleh DDoS tool
untuk melakukan update pada program-program yang menjadi zombie.
Jika kontrol untuk melakukan update masih terus berlangsung maka
sebuah modul eksploit dapat disertakan sehingga menjadikan worm
tersebut mampu menyebar lebih cepat dan mendapatkan korban lebih
banyak lagi.
Spionasme dan Pengumpulan Data—Worm dapat dilakukan sebagai
alat untuk melakukan spionasi dan pengumpulan data dengan mencari
keyword tertentu seperti nomor kartu kredit atau informasi penting
lainnya pada dokumen-dokumen yang tersimpan pada host yang sudah
menjadi korban.
Pengerusakan Data—Ada banyak virus dan worm yang melakukan
pengerusakan data seperti Chernobyl dan Klez, yang memiliki perintah-
perintah penghapusan data. Karena worm dapat menyebar dengan cepat,
mereka dapat mulai menghapus atau memanipulasi data dari awal proses
infeksi.
Pengerusakan Hardware—Walaupun sebagian besar BIOS memiliki
kemampuan untuk mencegah proses reflashing, beberapa worm memiliki
routine yang mampu melakukan pengerusakan terhadap BIOS jenis
tertentu.
Coercion—Dengan muatan yang coercive, sebuah worm tidak
menimbukan kerusakan kecuali jika worm tersebut diganggu. Seperti
worm yang memberikan pilihan pada user: mengijinkan worm tersebut
tinggal pada sistim dan tidak melakukan pengerusakan, atau menghapus
worm tersebut namun menimbulkan efek yang buruk dengan kerusakan
pada sistim.
MOTIVASI SERANGAN
Walaupun sangat penting untuk mengetahui teknologi yang digunakan
oleh Internet worms, namun untuk dapat memahami ancaman yang
berasal dari sebuah worm secara alam perlu dipahami motivasi dari
intruders (seperti penulis worm), serta jika memungkinkan dapat
mengidentifikasi siapa sebenarnya intruder tersebut.
Ada banyak motivasi yang menyebabkan sebuah worm dibuat namun
berikut ini adalah motivasi umum yang mendasari serangan worm.
Pride and Power—Intruder (juga pembuat worm) termotivasi untuk
mendapatkan kekuasaan dan show-off pengetahuan mereka dengan
merusak host orang lain. Intruders ini umumnya tidak terorganisir
dengan baik dan menemukan targetnya secara random. Jika mereka
menemukan sebuah sistim yang lemah dan vulnerable terhadap sebuah
attack maka mereka akan melangsungkan attack pada sistim tersebut.
Keuntungan Komersial—Berkaitan dengan perkembangan dunia
ekonomi yang semakin hari semakin bergantung pada kinerja komputer
untuk menjalankan operasional bisnis sehari-hari, serangan elektronik
yang ditujukan ke sebuah domain dapat secara serius menganggu
transaksi yang sedang berlangsung.
Sebuah serangan worm dapat
dilakukan untuk mendapatkan profit dengan melakukan manipulasi
finansial atau membatasi ruang-gerak kompetitor.
Pemerasan—Karena sebuah worm dapat dibuat untuk melangsungk-
an serangan DOS (Denial of Service) tanpa henti, pemerasan terhadap
sebuah perusahaan dapat dilakukan dan serangan baru dapat dihentikan
jika terjadi transaksi pembayaran sesuai yang diinginkan oleh attacker.
Motivasi ini lebih terorganisi secara individual maupun kelompok.
Protes—Seseorang yang memiliki pengetahuan yang cukup untuk
menulis sebuah worm dapat melangsungkan serangan jika ia merasa
dirugikan oleh suatu pihak tertentuk. Ia melakukan protes terselubung
dengan menyebarkan worm di Internet. Protes tersebut juga dapat
berdampak negatif pada institusi yang menjadi target, seperti SCO dan
Microsoft yang baru-baru ini mendapatkan serangan DOS yang ditujukan
kepadanya. Protes politik juga dapat menjadi muatan dari serangan
worm. Sebagai contoh, worm Yaha Mail dibuat sebagai tool dari protes
politik yang diklaim sebagai pro India dan melakukan serangan DOS
pada websites milik pemerintah Pakistan.
Terorisme—Secara obyektif, worm dapat dimanfaatkan oleh kelom-
pok teroris. Oleh karena ada banyak sistim komputer yang terhubungkan
ke Internet berlokasi di negara-negara maju, maka sebuah serangan worm
dapat ditujukan sebagai bentuk terorisme. Attacker dapat menyertakan
muatan teror Al-Qaeda atau kelompok-kelompok anti-globalisasi lainnya
untuk menyerang.
Mekanisme Penyebaran
Worm menginfeksi host korban dan memasukkan kode program—
sebagai bagian dari program worm—ke dalamnya.
Kode program
tersebut dapat berupa machine code, atau routine untuk menjalankan
program lain yang sudah ada pada host korban.
Dalam proses
penyebarannya, worm harus mencari korban baru dan menginfeksi
korban dengan salinan dirinya. Proses pendistribusian tersebut dapat
berlangsung sebagai proses distribusi satuan (dari satu host ke host yang
lain) atau sebagai proses distribusi masal (dari satu host ke banyak host).
Proses distribusi masal dipertimbangkan sebagai metode penyebaran
tercepat dengan asumsi batasan yang digunakan adalah satuan waktu.
Terdapat beberapa mekanisme penyebaran yang digunakan worm
untuk menemukan calon korban yaitu dengan melakukan scanning,
mencari korban berdasarkan target list yang sudah dipersiapkan terlebih
dahulu oleh penulis worm atau berdasarkan list yang ditemukan pada
sistim korban maupun di metaserver, serta melakukan monitoring secara
pasif.
Scanning—Metode scanning melibatkan proses probing terhadap
sejumlah alamat di Internet dan kemudian mengidentifikasi host yang
vulnerable.
Dua format sederhana dari metode scanning adalah
sequential (mencoba mengidentifikasi sebuah blok alamat dari awal
sampai akhir) dan random (secara acak).
Penyebaran worm dengan metode scanning baik sequential mau-
pun random, secara komparatif dapat dikatakan lambat, namun jika
dikombinasikan dengan aktivasi secara otomatis, worm dapat menyebar
lebih cepat lagi. Worm yang menggunakan metode scanning biasanya
mengeksploitasi security holes yang sudah teridentifikasi sebelumnya
sehingga secara relatif hanya akan menginfeksi sejumlah host saja.
Metode scanning lainnya yang dinilai cukup efektif adalah dengan
menggunakan bandwidth-limited routine (seperti yang digunakan oleh Co-
deRed, yaitu dengan membatasi target dengan latensi koneksi dari sistim
yang sudah terinfeksi dengan calon korban yang baru), mendefinisikan
target yang hanya terdapat pada local address (seperti dalam sebuah LAN
maupun WAN), dan permutasi pada proses pencarian.
Scanning yang dilakukan worm tidaklah spesifik terhadap aplikasi
sehingga attacker dapat menambahkan sebuah exploit baru pada sebuah
worm yang sudah dikenal. Sebagai contoh, worm Slapper mendapatkan
muatan exploit baru dan menjadikannya sebuah worm baru yaitu Scalper.
Secara umum, kecepatan scanning yang dilakukan adalah terbatas
pada kombinasi faktor seperti; jumlah mesin-mesin yang vulnerable,
desain dari scanner, dan kemampuan network monitoring system yang
mampu mengidentifikasikan keberadaan worm dengan meningkatnya
trafik yang cukup signifikan.
Target Lists—Sebuah worm dapat memiliki target list yang sudah
ditentukan sebelumnya oleh penulis worm tersebut. Dengan target list
yang sudah ditentukan terlebih dahulu membuat sebuah worm lebih
cepat dalam menyebar, namun tentu saja penyebaran tersebut akan sangat
terbatas karena target berdasarkan sejumlah alamat di Internet yang
sudah ditentukan.
Selain itu, worm dapat menemukan list yang dibutuhkan pada host
korban yang sudah dikuasainya, list ini umumnya digunakan oleh worm
yang metode penyebarannya berdasarkan topologi network. Informasi
yang didapat contohnya adalah IP address sistim tersebut dan worm
mengembangkannya menjadi sebuah subnet pada LAN atau WAN.
Target list juga dapat diperoleh pada metaserver (server yang
memberikan informasi sejumlah server yang memiliki service yang
sama). Sebagai contoh, metaserver Gamespy memiliki daftar server yang
menyediakan service game online. Sebuah worm yang memanfaatkan
metaserver akan melakukan query terlebih dahulu untuk mengetahui
keberadaan target yang baru. Metode ini juga dapat mempercepat proses
penyebaran sebuah worm yang menyerang webserver, worm dapat
menggunakan Google atau mesin pencari lainnya sebagai metaserver
untuk menemukan target.
Monitoring secara Pasif—Worm pasif tidak mencari korbannya,
namun worm tersebut akan menunggu calon korban potensial dan
kemudian menginfeksinya. Walaupun metode ini lebih lambat namun
worm pasif tidak menghasilkan anomalous traffic patterns sehingga
keberadaan mereka akan sulit diketahui.
Sebagai contoh, "anti-
worm" CRClean tidak membutuhkan aktivasi user, worm ini menunggu
serangan worm CodeRed dan turunannya, kemudian melakukan respon
dengan melakukan counter-attack. Jika proses counter-attack berhasil,
CRClean akan menghapus CodeRed dan menginfeksi korban dengan
menginstal dirinya pada mesin. Sehingga CRClean dapat menyebar tanpa
melakukan proses scanning.
1.1 Metode Aktivasi
Pengertian bagaimana worm dapat aktif pada sebuah host berhubungan
erat dengan kemampuan worm untuk menyebarkan diri, sejumlah worms
dapat diatur untuk aktif secara langsung (activated nearly immediately),
sementara yang lain dapat menunggu beberapa hari, minggu atau bahkan
bulan untuk dapat teraktivasi dan kemudian menyebarkan-dirinya.
Aktivasi dengan intervensi user—Merupakan proses aktivasi paling
lambat karena membutuhkan intervensi user untuk mengeksekusi worm
tersebut, baik disadari maupun tidak oleh user tersebut. Namun karena
sosialisasi yang gencar dilakukan mengenai bahaya worm dan virus,
user dapat lebih cermat dengan tidak mengeksekusi program asing atau
membuka attachment e-mail dari orang yang tidak dikenalnya, hal ini
tentu akan memperlambat proses aktivasi worm. Tetapi pembuat worm
tidak putus asa dengan kondisi tersebut sehingga mereka melakukan
teknik social engineering seperti yang dilakukan oleh virus Melissa yang
seolah-olah mengirimkan informasi penting dari orang yang telah dikenal
oleh korban atau pesan-pesan personal lainnya yang dikirimkan oleh
virus ILOVEYOU. Walaupun Melissa adalah sebuah virus macro pada
program Microsoft Word namun dengan intervensi user maka penyebaran
Melissa di Internet sempat menjadi ancaman yang paling menakutkan.
Aktivasi terjadwal—Metode aktivasi worm yang lebih cepat adalah
dengan menggunakan proses terjadwal pada sistim (scheduled system
proces). Ada banyak program yang berjalan pada lingkungan desktop
maupun server untuk melakukan proses sesuai dengan jadwal yang
diberikan. Metode ini tetap membutuhkan intervesi manusia namun
kali ini intervensi attacker yang dibutuhkan. Sebagai contoh, program
auto-update dari sistim yang melakukan proses updating ke server
vendor. Dengan melakukan update ke remote host sebagai master,
seorang attacker yang cerdik dapat memanfaatkan proses tersebut untuk
menyebarkan worm dengan terlebih dahulu menguasai remote host
atau gateway pada network maupun di Internet dan mengganti atau
menginfeksi file yang dibutuhkan pada proses update dengan kode
program worm.
Aktivasi mandiri—Metode aktivasi mandiri adalah metode tercepat
worm dalam menggandakandiri, menyebar, dan menginfeksi host
korban.
Metode ini paling populer digunakan oleh para penulis
worm. Umumnya worm yang menggunakan metode ini memanfaatkan
kelemahan sekuriti (security flaw) pada service yang umum digunakan.
Sebagai contoh, worm CodeRed yang mengeksploitasi webserver IIS.
Worm akan menyertakan dirinya pada service daemon yang sudah
dikuasainya atau mengeksekusi perintah-perintah lain dengan privilege
yang sama dengan yang digunakan oleh daemon tersebut.
Proses
eksekusi tersebut akan berlangsung ketika worm menemukan vulnerable
service dan melakukan eksploitasi terhadap service tersebut.
mekanisme penyebaran
Perbedaan mendasar antara worm dan virus terletak pada bagaimana
Untuk memudahkan pembahasan,
kemana Perginya Worm Komputer?
Jadi kemana perginya worm yang sempat begitu mengerikan? Hypponen menduga menurunnya jumlah worm disebabkan oleh semakin banyaknya pengguna Windows XP Service Pack 2 (SP2).
Sistem operasi Windows XP edisi revisi itu memang dirancang dengan keamanan yang lebih baik. Termasuk pemanfaatan firewall yang membuat banyak worm 'ciut'.
Ini tidak jauh berbeda dengan kejadian beberapa tahun silam ketika Windows 95 dan Office 2000 semakin banyak digunakan. Sebelum era Windows 95, virus boot sector adalah rajanya teror di komputer. Sedangkan sebelum Office 2000, pengguna Microsoft Office banyak terancam oleh virus macro.
Selain itu, ujar Hypponen, pembuatan worm tradisional jauh lebih sulit dari jenis virus lainnya. Pasalnya worm mengharuskan penulisnya untuk memiliki kemampuan teknis di atas rata-rata demi memanfaatkan kelemahan pada sistem operasi.
Selain worm e-mail, jenis ancaman lain yang juga sedang tumbuh adalah instant messenger worm (IM Worm). Belum lama ini penyebaran worm lewat IM menjadi metode 'favorit' di kalangan pembuat virus. Sebut saja Bropia atau Kelvir yang mengancam pengguna MSN Messenger.
Program jahat lain juga semakin banyak. Salah satu 'primadona' baru adalah spyware, yaitu program yang menyusup dan diam-diam mengirimkan informasi dari komputer korbannya. Seringkali informasi yang dikirimkan adalah informasi penting seperti nomor kartu kredit atau password.
Di ranah yang berbeda, virus ponsel juga semakin banyak. Setelah Cabir dan Skulls, terakhir muncul CommWarrior yang menyebar lewat multimedia messaging service (MMS).
Jadi kemana perginya virus komputer sebenarnya? Mereka tidak pergi kemana-mana, hanya mengalami evolusi yang semakin mengerikan
Pencegahan Eksekusi Virus Worm yang Bersarang pada UFD
Pemahaman Singkat
Virus dan worm menggunakan 2 teknik agar file yang disebarkan (hasil salinan dirinya) pada UFD
tereksekusi ketika UFD itu digunakan pada suatu komputer, baik itu pada komputer yg sudah 'sakit'
maupun yg masih 'segar'. Kedua teknik yang digunakan oleh para vxers(pembuat virus) tersebut adalah:
1. Injeksi file autorun.inf
Dengan membuat atau menginjeksi file autorun.inf dengan kode-kode tertentu, file virus/worm
dapat tereksekusi:
a. Hanya dengan men-colok-kan UFD ke komputer (fungsi autorun removable device tidak didisable)
b. Ikon UFD diklik 2 kali
c. Mengeksekusi faked command pada klik kanan ikon UFD, misalnya : explorer ( dari explore),
property (properties)
2. Injeksi file desktop.ini dan folder.htt
Sama dengan teknik yg pertama, teknik ini dapat membuat virus/worm tereksekusi ketika ikon
UFD ataupun ikon folder-folder dalam UFD diklik 2 kali.
Pencegahan
Untuk mencegah agar file autorun.inf dan desktop.ini tidak dapat dibuat sekaligus di-inject ketika UFD
digunakan pada komputer yang sudah terinfeksi, maka yang perlu dilakukan adalah:
1. Membuat kedua file tersebut dengan definisi kita sendiri
2. Mengubah atribut menjadi read-only, dan
3. Mencegah agar kedua file tersebut tidak dapat di-inject atau dihapus, dan digantikan dengan file
yang dibuat oleh virus/worm
Langkah-langkah
1. Periksa dan hapus file autorun.inf dan desktop.ini jika sudah ada pada UFD. Perlu dicatat bahwa
kedua file ini mungkin tidak terlihat karena di-hidden ataupun dijadikan file system. Untuk itu
ubah dahulu folder option-nya dengan cara:
a. Pilih Tool �� Folder Options…
b. Pada tab View, pilih show hidden files and folder dan uncheck hide protected operating
system file (recommended)
2. Setelah dihapus, buatlah berkas dengan nama autorun.inf dan desktop.ini di dalam UFD. Isi dari
kedua berkas ini dapat didefinisikan sendiri, misalnya autorun.inf dapat digunakan untuk
mengubah ikon default UFD, dan desktop.ini dapat digunakan untuk menampilkan wallpaper
pada UFD dan mengubah warna font
3. Ubah atribut kedua berkas tersebut menjadi Read-only. Caranya, klik kanan �� properties, check
Read-Only
4. Untuk mencegah agar file yang kita buat tidak dapat dihapus dan atributnya tidak dapat diganti,
caranya:
a. Kembali ke folder option, pada tab view, uncheck use simple file sharing (recommended)
b. Klik kanan �� properties kedua berkas tersebut, pilih tab security, kemudian klik tombol
advanced
c. Untuk setiap group user yang ada (Administrators, System, Guests, Users, dll), TERKECUALI
USERNAME ANDA SENDIRI, edit permission access-nya, misalnya deny: Take Ownership,
Change Permissions, Delete, Write Attributes, Write Extended Attributes, Create Files, Create
Folders, dan lain-lain sesuai keinginan. Yang pasti permission access yang sudah disebutkan
diatas harus di-deny
5. Karena permission access Anda tidak diubah, maka Anda dapat menghapus dan mengubah
kedua berkas tersebut. Agar tidak terlihat, ubah atribut kedua berkas tersebut menjadi hidden
melalui klik kanan �� properties, atau melalui command prompt dengan perintah:
attrib +s +h F:\autorun.inf
attrib +s +h F:\desktop.ini
Asumsikan F:\ adalah drive untuk UFD
6. Kembalikan setting folder option seperti semula.
Demikianlah tips dan trik kali ini, semoga dengan pemahaman dan penguasaan teknik ini dapat
mengurangi penyebaran dan penginfeksian berbagai jenis virus dan worm di kampus ITB pada
khususnya dan dunia luar pada umumnya. Terima kasih.
Pencegahan Eksekusi Virus Worm yang Bersarang pada UFD
Pemahaman Singkat
Virus dan worm menggunakan 2 teknik agar file yang disebarkan (hasil salinan dirinya) pada UFD
tereksekusi ketika UFD itu digunakan pada suatu komputer, baik itu pada komputer yg sudah 'sakit'
maupun yg masih 'segar'. Kedua teknik yang digunakan oleh para vxers(pembuat virus) tersebut adalah:
1. Injeksi file autorun.inf
Dengan membuat atau menginjeksi file autorun.inf dengan kode-kode tertentu, file virus/worm
dapat tereksekusi:
a. Hanya dengan men-colok-kan UFD ke komputer (fungsi autorun removable device tidak didisable)
b. Ikon UFD diklik 2 kali
c. Mengeksekusi faked command pada klik kanan ikon UFD, misalnya : explorer ( dari explore),
property (properties)
2. Injeksi file desktop.ini dan folder.htt
Sama dengan teknik yg pertama, teknik ini dapat membuat virus/worm tereksekusi ketika ikon
UFD ataupun ikon folder-folder dalam UFD diklik 2 kali.
Pencegahan
Untuk mencegah agar file autorun.inf dan desktop.ini tidak dapat dibuat sekaligus di-inject ketika UFD
digunakan pada komputer yang sudah terinfeksi, maka yang perlu dilakukan adalah:
1. Membuat kedua file tersebut dengan definisi kita sendiri
2. Mengubah atribut menjadi read-only, dan
3. Mencegah agar kedua file tersebut tidak dapat di-inject atau dihapus, dan digantikan dengan file
yang dibuat oleh virus/worm
Langkah-langkah
1. Periksa dan hapus file autorun.inf dan desktop.ini jika sudah ada pada UFD. Perlu dicatat bahwa
kedua file ini mungkin tidak terlihat karena di-hidden ataupun dijadikan file system. Untuk itu
ubah dahulu folder option-nya dengan cara:
a. Pilih Tool Folder Options…
b. Pada tab View, pilih show hidden files and folder dan uncheck hide protected operating
system file (recommended)
2. Setelah dihapus, buatlah berkas dengan nama autorun.inf dan desktop.ini di dalam UFD. Isi dari
kedua berkas ini dapat didefinisikan sendiri, misalnya autorun.inf dapat digunakan untuk
mengubah ikon default UFD, dan desktop.ini dapat digunakan untuk menampilkan wallpaper
pada UFD dan mengubah warna font
3. Ubah atribut kedua berkas tersebut menjadi Read-only. Caranya, klik kanan properties, check
Read-Only
4. Untuk mencegah agar file yang kita buat tidak dapat dihapus dan atributnya tidak dapat diganti,
caranya:
a. Kembali ke folder option, pada tab view, uncheck use simple file sharing (recommended)
b. Klik kanan properties kedua berkas tersebut, pilih tab security, kemudian klik tombol
advanced
c. Untuk setiap group user yang ada (Administrators, System, Guests, Users, dll), TERKECUALI
USERNAME ANDA SENDIRI, edit permission access-nya, misalnya deny: Take Ownership,
Change Permissions, Delete, Write Attributes, Write Extended Attributes, Create Files, Create
Folders, dan lain-lain sesuai keinginan. Yang pasti permission access yang sudah disebutkan
diatas harus di-deny
5. Karena permission access Anda tidak diubah, maka Anda dapat menghapus dan mengubah
kedua berkas tersebut. Agar tidak terlihat, ubah atribut kedua berkas tersebut menjadi hidden
melalui klik kanan properties, atau melalui command prompt dengan perintah:
attrib +s +h F:\autorun.inf
attrib +s +h F:\desktop.ini
Asumsikan F:\ adalah drive untuk UFD
6. Kembalikan setting folder option seperti semula.
Demikianlah tips dan trik kali ini, semoga dengan pemahaman dan penguasaan teknik ini dapat
mengurangi penyebaran dan penginfeksian berbagai jenis virus dan worm di kampus ITB pada
khususnya dan dunia luar pada umumnya. Terima kasih.
cara mengatsi virus worm 2
Worms mereplikasikan dirinya melalui jaringan, biasanya worm akan aktif secara otomatis tanpa bantuan dari user tapi jenis worm ‘mass mailer’ tidak selalu aktif secara otomatis. Worms sebenarnya tidak memerlukan suatu system/host. Namun pada beberapa worms seperti W32/Nimda.A@mm (@mm = massmailer) bekerja seperti virus kebanyakan, dia akan menyebar menginfeksi file-file dan menginfeksi systemnya. Jadi worm adalah jenis virus yang tujuan utamanya adalah menyerang jaringan.
Cacing-cacing di Internet (Worms) adalah autonomous intrusion agents yang mampu melakukan penggandaan-diri dan menyebar dengan memanfaatkan kelemahan-kelemahan sekuriti (security flaws) pada services yang umum digunakan. Worm bukanlah sebuah fenomena baru, ditemukan pertama kali penyebarannya pada tahun 1988. Worms telah menjadi sebuah ancaman yang mematikan di Internet, walaupun sebagian besar kasus yang terjadi secara spesifik adalah pada sistim berbasis Windows. Beberapa jenis worms terbaru memanfaatkan electronic mail (e-mail) sebagai medium penyebarannya.
Mekanisme Penyebaran
Worm menginfeksi host korban dan memasukkan kode program sebagai bagian dari program worm ke dalamnya. Kode program tersebut dapat berupa machine code, atau routine untuk menjalankan program lain yang sudah ada pada host korban. Dalam proses penyebarannya, worm harus mencari korban baru dan menginfeksi korban dengan salinan dirinya. Proses pendistribusian tersebut dapat berlangsung sebagai proses distribusi satuan (dari satu host ke host yang lain) atau sebagai proses distribusi masal (dari satu host ke banyak host).
Proses distribusi masal dipertimbangkan sebagai metode penyebaran tercepat dengan asumsi batasan yang digunakan adalah satuan waktu. Terdapat beberapa mekanisme penyebaran yang digunakan worm untuk menemukan calon korban yaitu dengan melakukan scanning, mencari korban berdasarkan target list yang sudah dipersiapkan terlebih dahulu oleh penulis worm atau berdasarkan list yang ditemukan pada sistim korban maupun di metaserver, serta melakukan monitoring secara pasif.
Virus Worm Incar Messenger
| Program instant messenger (IM) yang tengah populer di kalangan pengguna internet tampaknya bakal jadi sasaran empuk virus-virus jenis worm. Setelah lama membidik program email, para pembuat virus worm tampaknya akan mulai membidik layanan IM.Demikian diberitakan Zdnet.com, Rabu (15/8/2001). Akhir Juni 2001 lalu, sebuah virus worm bernama "Choke" melakukan serangan terhadap MSN messenger, jaringan IM milik Microsoft Corp. Sebulan sebelumnya, virus sejenis berkode W32/Hello juga menyerang jaringan yang sama. Kalangan ahli keamanan komputer menilai kewaspadaan terhadap serangan semacam ini masih sangat kurang. Padahal bukannya tidak mungkin serangan virus worm akan menyerang jaringan IM yang lain, semisal AOL Instant Messenger (AIM) dan ICQ milik AOL Time Warner atau Yahoo Messenger milik Yahoo. Kalangan pembuat virus saat ini tengah merancang sebuah virus worm yang dapat menyerang berbagai jenis jaringan IM, termasuk sistem pertukaran file peer-to-peer dan sistem wireless. Namun hingga saat ini memang belum ada jenis yang seeektif virus worm yang menyebar melalui program email semisal virus cinta, Anna Kournikova dan Melissa. Chief Technology Officer (CTO) Privacy Foundation, Richard Smith, menegaskan, email saat ini masih merupakan wahana paling efektif untuk menyebarkan email. Namun kalangan ahli keamanan komputer mengingatkan, serangan masif virus worm melalui jaringan IM hanyalah soal waktu. Saat ini puluhan juta user di internet telah menggunakan IM untuk melakukan komunikasi secara real time. Layanan ini diprediksi akan menjadi program paling populer di internet dalam waktu dekat. |