Virus Trojan
Trojan horse atau Kuda
Troya atau yang lebih dikenal sebagai Trojan dalam keamanan
komputer merujuk kepada sebuah bentuk perangkat lunak yang
mencurigakan (malicious software/malware) yang dapat merusak
sebuah sistem atau jaringan. Tujuan dari Trojan adalah memperoleh
informasi dari target (password, kebiasaan user yang tercatat dalam system log,
data, dan lain-lain), dan mengendalikan target (memperoleh hak akses pada
target).
Sejarah Perkembangan
Virus Trojan
Untuk mengetahui apa itu Trojan Horse mari kita pelajari terlebih dahulu sejarah dari nama Trojan Horse itu sendiri. Nah sejarahnya Nama Trojan Horse berasal dari sejarah Yunani Kuno dimana terjadi peperangan antara bangsa Yunani dengan Troy selama lebih dari 10 tahun. Penyusup dari Yunani dipanggil Sinon menawarkan hadiah Trojan yang berbentuk Kuda dari kayu berukuran besar dan berhasil mengyakinkan Troy bahwa Kuda Kayu (Trojan) tersebut dapat memberi kekuatan abadi kepada bangsa Troy. Setelah Kuda Kayu tersebut masuk ke kota Troy , tidak disangka telah banyak pasukan Yunani yang bersembunyi di dalamnya, Yunani berhasil melumpuhkan dan membakar habis kota Troy dari dalam.
Kisah tersebut mengilhami para hacker untuk menciptakan “penyusup” ke komputer orang lain yang disebut dengan Trojan Horse. Daniel Edwards dari National Security Agency (NSA) yang diakui mencetuskan istilah Trojan Horse untuk program jahat yang menyelinap dalam computer menghilangkan masa trialnya. Pengguna komputer yang mendapatkan file yang telah
mengandung Trojan Horse ini umumnya akan terpancing untuk menjalankannya yah Karena daya tarik tadi.
Cara Kerja
Trojan
berbeda dengan jenis perangkat lunak mencurigakan lainnya seperti virus
komputer atau worm karena dua hal berikut:
- Trojan
bersifat "stealth" (siluman dan tidak terlihat) dalam
operasinya dan seringkali berbentuk seolah-olah program tersebut merupakan
program baik-baik, sementara virus
komputer atau worm bertindak lebih agresif dengan merusak sistem atau
membuat sistem menjadi crash.
- Trojan
dikendalikan dari komputer lain (komputer attacker).
Cara Penyebaran
Penggunaan istilah Trojan atau Trojan horse
dimaksudkan untuk menyusupkan kode-kode mencurigakan dan merusak di dalam
sebuah program baik-baik dan berguna; seperti halnya dalam Perang Troya,
para prajurit Sparta
bersembunyi di dalam Kuda Troya yang ditujukan sebagai pengabdian
kepada Poseidon.
Kuda Troya tersebut menurut para petinggi Troya dianggap tidak berbahaya, dan
diizinkan masuk ke dalam benteng Troya yang tidak dapat ditembus oleh para
prajurit Yunani selama kurang lebih 10 tahun perang Troya
bergejolak.
Kebanyakan Trojan saat ini berupa sebuah berkas yang dapat
dieksekusi (*.EXE atau *.COM dalam sistem operasi Windows
dan DOS
atau program dengan nama yang sering dieksekusi dalam sistem operasi UNIX,
seperti ls,
cat, dan lain-lain) yang
dimasukkan ke dalam sistem yang ditembus oleh seorang cracker untuk
mencuri data yang penting bagi pengguna (password,
data kartu kredit,
dan lain-lain). Trojan juga dapat menginfeksi sistem ketika pengguna mengunduh
aplikasi (seringnya berupa game komputer) dari sumber yang tidak dapat
dipercayai dalam jaringan Internet. Aplikasi-aplikasi tersebut dapat memiliki kode
Trojan yang diintegrasikan di dalam dirinya dan mengizinkan seorang cracker
untuk dapat mengacak-acak sistem yang bersangkutan.
Jenis-jenis Trojan
Beberapa
jenis Trojan yang beredar antara lain adalah:
- Pencuri
password: Jenis Trojan ini dapat mencari password yang disimpan di
dalam sistem operasi (/etc/passwd atau /etc/shadow dalam keluarga sistem
operasi UNIX
atau berkas Security Account Manager (SAM) dalam
keluarga sistem operasi Windows NT) dan akan mengirimkannya kepada
si penyerang yang asli. Selain itu, jenis Trojan ini juga dapat menipu
pengguna dengan membuat tampilan seolah-olah dirinya adalah layar login
(/sbin/login dalam sistem operasi UNIX atau Winlogon.exe dalam sistem
operasi Windows NT) serta menunggu pengguna untuk memasukkan passwordnya
dan mengirimkannya kepada penyerang. Contoh dari jenis ini adalah Passfilt
Trojan yang bertindak seolah-olah dirinya adalah berkas Passfilt.dll
yang aslinya digunakan untuk menambah keamanan password dalam
sistem operasi Windows NT, tapi disalahgunakan menjadi sebuah program
pencuri password.
- Pencatat
penekanan tombol (keystroke logger/keylogger): Jenis Trojan
ini akan memantau semua yang diketikkan oleh pengguna dan akan
mengirimkannya kepada penyerang. Jenis ini berbeda dengan spyware,
meski dua hal tersebut melakukan hal yang serupa (memata-matai pengguna).
- Tool
administrasi jarak jauh (Remote Administration Tools/RAT):
Jenis Trojan ini mengizinkan para penyerang untuk mengambil alih kontrol
secara penuh terhadap sistem dan melakukan apapun yang mereka mau dari
jarak jauh, seperti memformat hard
disk, mencuri atau menghapus data dan lain-lain. Contoh dari
Trojan ini adalah Back Orifice, Back
Orifice 2000, dan SubSeven.
- DDoS
Trojan atau Zombie Trojan: Jenis Trojan ini digunakan
untuk menjadikan sistem yang terinfeksi agar dapat melakukan serangan
penolakan layanan secara terdistribusi terhadap host target.
- Ada
lagi sebuah jenis Trojan yang mengimbuhkan dirinya sendiri ke sebuah
program untuk memodifikasi cara kerja program yang diimbuhinya. Jenis
Trojan ini disebut sebagai Trojan virus.
- Cookies
Stuffing, ini adalah script yang termasuk dalam metode blackhat,
gunanya untuk membajak tracking code penjualan suatu produk, sehingga
komisi penjualan diterima oleh pemasang cookies stuffing, bukan oleh orang
yang terlebih dahulu mereferensikan penjualan produk tersebut di internet
Pendeteksian dan Pembersihan
Memeriksa
Listening Port
Mendeteksi
keberadaan Trojan merupakan sebuah tindakan yang agak sulit dilakukan. Cara
termudah adalah dengan melihat port-port mana yang terbuka dan sedang berada dalam keadaan
"listening",
dengan menggunakan utilitas tertentu semacam Netstat. Hal ini dikarenakan
banyak Trojan berjalan sebagai sebuah layanan sistem, dan bekerja di latar
belakang (background), sehingga Trojan-Trojan tersebut dapat menerima
perintah dari penyerang dari jarak jauh. Ketika sebuah transmisi UDP atau TCP
dilakukan, tapi transmisi tersebut dari port
(yang berada dalam keadaan "listening") atau alamat yang tidak
dikenali, maka hal tersebut bisa dijadikan pedoman bahwa sistem yang
bersangkutan.
1.
Membuat Snapshot
Cara lainnya yang dapat digunakan
adalah dengan membuat sebuah "snapshot" terhadap semua berkas program
(*.EXE, *.DLL, *.COM, *.VXD, dan lain-lain) dan membandingkannya seiring dengan
waktu dengan versi-versi terdahulunya, dalam kondisi komputer tidak terkoneksi
ke jaringan. Hal ini dapat dilakukan dengan membuat sebuah checksum terhadap
semua berkas program (dengan CRC atau MD5
atau mekanisme lainnya). Karena seringnya Trojan dimasukkan ke dalam direktori
di mana sistem operasi berada (\WINDOWS atau \WINNT untuk Windows atau /bin,
/usr/bin, /sbin, /usr/sbin dalam keluarga UNIX), maka yang patut dicurigai
adalah berkas-berkas yang berada di dalam direktori tersebut. Banyak berkas
yang dapat dicurigai, khususnya berkas-berkas program yang memiliki nama yang
mirip dengan berkas yang "baik-baik" (seperti
"svch0st.exe", dari yang seharusnya "svchost.exe", sebuah
berkas yang dijalankan oleh banyak layanan sistem operasi Windows) dapat
dicurigai sebagai Trojan Horse.
2.
Antivirus
Cara terakhir adalah dengan
menggunakan sebuah perangkat lunak antivirus,
yang dilengkapi kemampuan untuk mendeteksi Trojan yang dipadukan dengan firewall
yang memonitor setiap transmisi yang masuk dan keluar. Cara ini lebih efisien,
tapi lebih mahal, karena umumnya perangkat lunak antivirus yang dipadukan
dengan firewall memiliki harga yang lebih mahal dibandingkan dengan dua cara di
atas (yang cenderung "gratis"). Memang, ada beberapa perangkat yang
gratis, tapi tetap saja dibutuhkan waktu, tenaga dan uang untuk mendapatkannya
(mengunduhnya dari Internet).
Berikut
5 jenis trojan horse yang tehnik serangannya dengan cara mengelabui
sistem pengamanan :
a) Glieder Trojan
Trojan ini
seolah mengatakan “jangan hiraukan saya, saya disini hanya untuk
mengistirahatkan komputer ini.” padahal sesungguhnya komputer sedang memasukkan
sebuah program pengintai. Glieder trojan menggunakan proses penularan
bertingkat, dimana tahap pertamanya adalah sebuah program malware kecil
akan berubah secara terus menerus, sehingga program anti-virus yang terpasang
dalam PC tidak akan mengenalnya sebagai malware.
b) Gozi Trojan
Websites dapat
menggunakan secure cocket layer (SSL) untuk menyandi dan mengamanankan
data penting dan sensitif seperti on-line banking atau transaksi on-line.
Ciri-ciri website yang menggunakan SSL adalah adanya gambar gembok di address
bar-nya. Gozi trojan seolah mengatakan “website dikunci dan
disandi ? no, problem !” dan dia akan menghindari pengamanan ini (SSL)
dengan cara mengelabui OS Windows, sehingga seakan-akan dia adalah bagian dari
proses SSL.
c) SpamThru Trojan
Program jahat ini berlaku seolah-oleh sebuah program
anti-virus tambahan, sehingga dapat dikatakan “malware yang melakukan scanning
malware dalam PC”. Bila PC memasang anti-virus baru yang lebih baik, dia
akan memblok malware ini agar tidak bisa melakukan up-date yang
dapat mengubah dirinya menjadi malware lain.
d) SpyAgent Trojan
Program ini bermain di area penyandian
file dalam windows, yaitu ketika kita melakukan penyandian dengan
fasilitas yang disediakan oleh windows. SpyAgent ini memposisikan
dirinya sebagai user account tingkat administrator, dan menggunakan account
tersebut untuk menyandi file-file. Program anti-virus yang terpasang tidak
akan menduga adanya file yang sudah disusupi program jahat.
e) Jowspry Trojan
Jowspry trojan
mengelabui PC dengan dengan tehnik topeng (masquerader), seolah-olah
sebuah program yang memang sudah dikenal dan diakui oleh PC, yaitu windows
up-date. Program ini akan melakukan koneksi seperti background
intelligent transfer service yang digunakan oleh program windows up-date,
sehingga tidak ditangkal oleh program firewall yang terpasang dalam PC.
Tidak ada komentar:
Posting Komentar