VIRUS TROJAN HORSE

{ Diposting oleh Unknown di 04.58 Jumat, 28 Februari 2014 }


Pengertian Virus Trojan Horse

Trojan horse atau Kuda Troya atau yang lebih dikenal sebagai Trojan dalam keamanan komputer merujuk kepada sebuah bentuk perangkat lunak yang mencurigakan yang dapat merusak sebuah sistem atau jaringan.Tujuan dari Trojan adalah memperoleh informasi dari target dan mengendalikan target untuk memperoleh hak akses pada target. Trojan bersifat "stealth" atau siluman dan tidak terlihat dalam operasinya dan seringkali berbentuk seolah-olah program tersebut merupakan program baik-baik. Penggunaan istilah Trojan atau Trojan horse dimaksudkan untuk menyusupkan kode-kode mencurigakan dan merusak di dalam sebuah program baik-baik dan berguna. Kebanyakan Trojan saat ini berupa sebuah berkas yang dapat dieksekusi (*.EXE atau *.COM) dalam sistem operasi Windows dan DOS atau program dengan nama yang sering dieksekusi dalam sistem operasi UNIX, seperti ls, cat, dan lain-lain yang dimasukkan ke dalam sistem yang ditembus oleh seorang cracker untuk mencuri data yang penting bagi pengguna misalnya: password , data kartu kredit , dan lain- lain.
Trojan juga dapat menginfeksi sistem ketika pengguna mengunduh aplikasi dari sumber yang tidak dapat dipercayai dalam jaringan Internet. Aplikasi-aplikasi tersebut dapat memiliki kode Trojan yang diintegrasikan di dalam dirinya dan mengizinkan seorang cracker untuk dapat mengacak-acak sistem yang bersangkutan. Ada lagi sebuah jenis Trojan yang dapat mengimbuhkan dirinya sendiri ke sebuah program untuk memodifikasi cara kerja program yang diimbuhinya. Jenis Trojan ini disebut sebagai Trojan virus . Software jahat dan anti software jahat terus berkembang saling adu kuat. Ketika serangan virus, trojan horse dan malware lain dapat diatasi oleh sebuah sistem pengamanan, serangan berikutnya sebagai respon terhadap sistem pengamanan tersebut datang lagi dengan kemampuan yang lebih tinggi.
Berikut 5 jenis trojan horse yang tehnik serangannya dengan cara mengelabui sistem pengamanan :

 1. GLIEDER TROJAN=> Glieder trojan menggunakan proses penularan bertingkat, dimana tahap pertamanya adalah sebuah program malware kecil akan berubah secara terus menerus, sehingga program anti-virus yang terpasang dalam PC tidak akan mengenalinya sebagai malware. Begitu glieder trojan terinstal dalam PC, program ini akan berusaha menghilangkan kemampuan sistem pengamanan yang terpasang, baru setelah itu melakukan aktifitas jahatnya seperti memindahkan atau mencuri data penting, atau aktifitas lainnya sesuai keinginan penyerang.

 2. GOZI TROJAN WEBSITES=> Trojan jenis ini dapat menggunakan secure cocket layer (SSL) untuk menyandi dan mengamanankan data penting dan sensitif seperti on-line banking atau transaksi on-line. Ciri-ciri website yang menggunakan SSL adalah adanya gambar gembok di address bar. Gozi trojan akan menghindari pengamanan ini (SSL) dengan cara mengelabui OS Windows, sehingga seakan- akan dia adalah bagian dari proses SSL. Yang terjadi adalah data meninggalkan browser melalui gozi trojan sebelum data tersebut disandikan dan dikirimkan keluar PC menuju network. Program jahat ini memang tidak seperti trojan pada umumnya, dia masuk sampai ke operating system dengan mengelabui layered service providers (LSPs).

3. SPAMTHRU TROJAN=> Program jahat ini berlaku seolah-oleh sebuah program anti-virus tambahan, sehingga dapat dikatakan ?malware" yang melakukan scanning malware dalam PC?. Bila PC memasang anti-virus baru yang lebih baik, dia akan memblok malware ini agar tidak bisa melakukan up-date yang dapat mengubah dirinya menjadi malware lain.

4. SPYAGNT TROJAN=> Program ini bermain di area penyandian file dalam windows , yaitu ketika kita melakukan penyandian dengan fasilitas yang disediakan oleh windows. SpyAgent ini memposisikan dirinya sebagai user account tingkat administrator, dan menggunakan account tersebut untuk menyandi file-file. Program anti-virus yang terpasang tidak akan mendeteksi adanya file yang sudah disusupi program jahat.

5. JOWSPRY TROJAN=> Jowspry trojan mengelabui PC dengan dengan, seolah-olah sebai sebuah program yang memang sudah dikenal dan diakui oleh PC, yaitu windows up-date. Program ini akan melakukan koneksi seperti background intelligent transfer service yang digunakan oleh program windows up-date, sehingga tidak ditangkal oleh program firewall yang terpasang dalam PC. Seolah mengatakan ?hai firewall, saya windows up- date. Untuk mengantisipasi kehadiran trojan-trojan tersebut agar tidak bersarang dalam PC atau tidak memberi kesempatan pada trojan untuk beraksi, perlu melakukan pengantisipasian : selalu up-date windows dan program aplikasinya. usahakan tidak membuka attachement atau mengklik link dalam e-mail yang tidak jelas. dan gunakan selalu program anti- virus yang baik. Selain Trojan yang menyerang PC, sebenarnya ada Trojan yang menyerang perangkat seluler. Dalam hal ini yang menggunakan operating system (OS). Dan yang perlu di ketahui, perangkat seluler yang sering dan bahkan menjadi sasaran empuk Trojan adalah jenis Symbian. Dan terutama adalah jenis Symbian s60v2. Jika anda pengguna Symbian jenis tersebut, maka selalu pasang anti-virus pada perangkat seluler anda. Maka tak heran jika ada yang menyebutkan s60v2 adalah Hp virus. Selain Trojan, masih banyak varian virus yg dapat menginfeksi perangkat seluler, seperti halnya pada PC.
Cara kerja Trojan Horse
Trojan masuk melalui dua bagian, yaitu bagian client dan server. Jadi hacker kadang harus berjalan menanamkan trojannya di komputer korban ataupun memancing agar sang korban mengeksekusi/membuka file yang mengandung Trojan, namun ada juga Trojan yang langsung menginfeksi korbannya hanya dengan berbekal ip korban misalnya Kaht. Ketika korban (tanpa diketahui) menjalankan file yang mengandung Trojan pada komputernya, kemudian penyerang akan menggunakan client untuk koneksi dengan server dan mulai menggunakan trojan. Protokol TCP/IP adalah jenis protokol yang umum digunakan untuk komunikasi. Trojan dapat bekerja dengan baik dengan jenis protokol ini, tetapi beberapa trojan juga dapat menggunakan protokol UDP dengan baik. Ketika server mulai dijalankan (pada komputer korban), Trojan umumnya mencoba untuk menyembunyikan diri di suatu tempat dalam sistem komputer tersebut, kemudian mulai membuka beberapa port untuk melakukan koneksi, memodifikasi registry dan atau menggunakan metode lain yaitu metode autostarting agar trojan menjadi otomatis aktif saat komputer dihidupkan. Trojan sangat berbahaya bagi pengguna komputer yang tersambung jaringan komputer atau internet, karena bisa jadi hacker bisa mencuri data-data sensitif misalnya password email, dial-up passwords, webservices passwords, e-mail address, dokumen pekerjaan, internet banking, paypal, e-gold,kartu kredit dan lain-lain.
 Cara mengatasi bahaya Trojan

Pertama lakukan langkah pendeteksian keberadaan Trojan pada komputer. Pendeteksian Trojan dapat dilakukan dengan cara-cara sebagai berikut
1. Task List
Pendeteksiannya dengan melihat daftar program yang sedang berjalan dalam task list. Daftar dapat ditampilkan dengan menekan tombol CTRL+ALT+DEL atau klik kanan pada toolbar lalu klik task manager. Selain dapat mengetahui program yang berjalan, pemakai dapat melakukan penghentian terhadap suatu program yang dianggap aneh dan mencurigakan.
Namun beberapa Trojan tetap mampu menyembunyikan dari task list ini. Sehingga untuk mengetahui secara program yang berjalan secara keseluruhan perlu dibuka System Information Utility(msinfo32.exe) yang berada di C:\Program files\common files\microsoft shared\msinfo. Tool ini dapat melihat semua proses itu sedang berjalan, baik yang tersembunyi dari task list maupun tidak. Hal-hal yang perlu diperiksa adalah path, nama file, properti file dan berjalannya file *.exe serta file *.dll.

2. Netstat
Semua Trojan membutuhkan komunikasi. Jika mereka tidak melakukan komunikasi berarti tujuannya sia-sia. Hal ini adalah kelemahan yang utama dari Trojan, dengan komunikasi berarti mereka meninggalkan jejak yang kemudian dapat ditelusuri. Perintah Netstat berfungsi membuka koneksi ke dan dari komputer seseorang. Jika perintah ini dijalankan maka akan menampilkan IP address dari komputer tersebut dan komputer yang terkoneksi dengannya. Jika ditemukan IP address yang tidak dikenal maka perlu diselidiki lebih lanjut, mengejar dan menangkapnya.

3. TCP View
TCPVIEW adalah suatu free utility dari Sysinternals yang mempunyai kemampuan
menampilkan IP address dan menampilkan program yang digunakan oleh orang lain untuk koneksi dengan komputer pemakai. Dengan menggunakan informasi tersebut, maka jika terjadi penyerangan dapat diketahui dan dapat melakukan serangan balik. Langkah penghapusan Trojan Trojan dapat dihapus dengan: Menggunakan Software Anti-Virus. Sebagian antivirus dapat digunakan untuk mengenali dan menghapus Trojan. Menggunakan Software Trojan Scanner, software yang di khususkan untuk mendeteksi dan menghapus Trojan Cara yang paling sadis yah diinstal ulang komputernya.
 
Langkah pencegahan Trojan
Trojan menyusup di komputer anda, pastikan anda memasang antivirus yang selalu terupdate,
mengaktifkan Firewall baik bawaan dari Windows atau dari luar. Selalu waspadalah
jika komputer anda mengalami sesuatu kejanggalan. Hindari penggunaan sofware ilegal
karena sering tanpa kita sadari software tersebut mengandung Trojan, downloadlah software
dari situs-situs yang benar-benar dapat dipercaya.




Trojan horse atau Kuda Troya atau yang lebih dikenal sebagai Trojan dalam keamanan komputer merujuk kepada sebuah bentuk perangkat lunak yang mencurigakan (malicious software/malware) yang dapat merusak sebuah sistem atau jaringan. Tujuan dari Trojan adalah memperoleh informasi dari target (password, kebiasaan user yang tercatat dalam system log, data, dan lain-lain), dan mengendalikan target (memperoleh hak akses pada target)

Cara Kerja

Trojan berbeda dengan jenis perangkat lunak mencurigakan lainnya seperti virus komputer atau worm karena dua hal berikut:
  • Trojan bersifat "stealth" (siluman dan tidak terlihat) dalam operasinya dan seringkali berbentuk seolah-olah program tersebut merupakan program baik-baik, sementara virus komputer atau worm bertindak lebih agresif dengan merusak sistem atau membuat sistem menjadi crash.
  • Trojan dikendalikan dari komputer lain (komputer attacker).

Cara Penyebaran

Penggunaan istilah Trojan atau Trojan horse dimaksudkan untuk menyusupkan kode-kode mencurigakan dan merusak di dalam sebuah program baik-baik dan berguna; seperti halnya dalam Perang Troya, para prajurit Sparta bersembunyi di dalam Kuda Troya yang ditujukan sebagai pengabdian kepada Poseidon. Kuda Troya tersebut menurut para petinggi Troya dianggap tidak berbahaya, dan diizinkan masuk ke dalam benteng Troya yang tidak dapat ditembus oleh para prajurit Yunani selama kurang lebih 10 tahun perang Troya bergejolak.
Kebanyakan Trojan saat ini berupa sebuah berkas yang dapat dieksekusi (*.EXE atau *.COM dalam sistem operasi Windows dan DOS atau program dengan nama yang sering dieksekusi dalam sistem operasi UNIX, seperti ls, cat, dan lain-lain) yang dimasukkan ke dalam sistem yang ditembus oleh seorang cracker untuk mencuri data yang penting bagi pengguna (password, data kartu kredit, dan lain-lain). Trojan juga dapat menginfeksi sistem ketika pengguna mengunduh aplikasi (seringnya berupa game komputer) dari sumber yang tidak dapat dipercayai dalam jaringan Internet. Aplikasi-aplikasi tersebut dapat memiliki kode Trojan yang diintegrasikan di dalam dirinya dan mengizinkan seorang cracker untuk dapat mengacak-acak sistem yang bersangkutan.

Jenis-jenis Trojan

Beberapa jenis Trojan yang beredar antara lain adalah:
  • Pencuri password: Jenis Trojan ini dapat mencari password yang disimpan di dalam sistem operasi (/etc/passwd atau /etc/shadow dalam keluarga sistem operasi UNIX atau berkas Security Account Manager (SAM) dalam keluarga sistem operasi Windows NT) dan akan mengirimkannya kepada si penyerang yang asli. Selain itu, jenis Trojan ini juga dapat menipu pengguna dengan membuat tampilan seolah-olah dirinya adalah layar login (/sbin/login dalam sistem operasi UNIX atau Winlogon.exe dalam sistem operasi Windows NT) serta menunggu pengguna untuk memasukkan passwordnya dan mengirimkannya kepada penyerang. Contoh dari jenis ini adalah Passfilt Trojan yang bertindak seolah-olah dirinya adalah berkas Passfilt.dll yang aslinya digunakan untuk menambah keamanan password dalam sistem operasi Windows NT, tapi disalahgunakan menjadi sebuah program pencuri password.
  • Pencatat penekanan tombol (keystroke logger/keylogger): Jenis Trojan ini akan memantau semua yang diketikkan oleh pengguna dan akan mengirimkannya kepada penyerang. Jenis ini berbeda dengan spyware, meski dua hal tersebut melakukan hal yang serupa (memata-matai pengguna).
  • Tool administrasi jarak jauh (Remote Administration Tools/RAT): Jenis Trojan ini mengizinkan para penyerang untuk mengambil alih kontrol secara penuh terhadap sistem dan melakukan apapun yang mereka mau dari jarak jauh, seperti memformat hard disk, mencuri atau menghapus data dan lain-lain. Contoh dari Trojan ini adalah Back Orifice, Back Orifice 2000, dan SubSeven.
  • DDoS Trojan atau Zombie Trojan: Jenis Trojan ini digunakan untuk menjadikan sistem yang terinfeksi agar dapat melakukan serangan penolakan layanan secara terdistribusi terhadap host target.
  • Ada lagi sebuah jenis Trojan yang mengimbuhkan dirinya sendiri ke sebuah program untuk memodifikasi cara kerja program yang diimbuhinya. Jenis Trojan ini disebut sebagai Trojan virus.
  • Cookies Stuffing, ini adalah script yang termasuk dalam metode blackhat, gunanya untuk membajak tracking code penjualan suatu produk, sehingga komisi penjualan diterima oleh pemasang cookies stuffing, bukan oleh orang yang terlebih dahulu mereferensikan penjualan produk tersebut di internet

Pendeteksian dan Pembersihan

Memeriksa Listening Port

Mendeteksi keberadaan Trojan merupakan sebuah tindakan yang agak sulit dilakukan. Cara termudah adalah dengan melihat port-port mana yang terbuka dan sedang berada dalam keadaan "listening", dengan menggunakan utilitas tertentu semacam Netstat. Hal ini dikarenakan banyak Trojan berjalan sebagai sebuah layanan sistem, dan bekerja di latar belakang (background), sehingga Trojan-Trojan tersebut dapat menerima perintah dari penyerang dari jarak jauh. Ketika sebuah transmisi UDP atau TCP dilakukan, tapi transmisi tersebut dari port (yang berada dalam keadaan "listening") atau alamat yang tidak dikenali, maka hal tersebut bisa dijadikan pedoman bahwa sistem yang bersangkutan telah terinfeksi oleh Trojan Horse.
Berikut ini adalah contoh penggunaan utilitas Netstat dalam Windows XP Professional
C:\>netstat -a -b



Active Connections



 Proto  Local Address          Foreign Address        State           PID
 TCP    windows-xp:epmap       0.0.0.0:0              LISTENING       956

  c:\windows\system32\WS2_32.dll

  C:\WINDOWS\system32\RPCRT4.dll

  c:\windows\system32\rpcss.dll

  C:\WINDOWS\system32\svchost.exe

  -- unknown component(s) --

  [svchost.exe]
 TCP    windows-xp:microsoft-ds  0.0.0.0:0              LISTENING       4

  [System]
 TCP    windows-xp:50300       0.0.0.0:0              LISTENING       1908

  [oodag.exe]
 TCP    windows-xp:1025        0.0.0.0:0              LISTENING       496

  [alg.exe]
 TCP    windows-xp:1030        0.0.0.0:0              LISTENING       1252

  [ccApp.exe]
 UDP    windows-xp:microsoft-ds  *:*                                    4

  [System]
 UDP    windows-xp:4500        *:*                                    724

  [lsass.exe]
 UDP    windows-xp:isakmp      *:*                                    724

  [lsass.exe]
 UDP    windows-xp:1900        *:*                                    1192

  c:\windows\system32\WS2_32.dll

  c:\windows\system32\ssdpsrv.dll

  C:\WINDOWS\system32\ADVAPI32.dll

  C:\WINDOWS\system32\kernel32.dll

  [svchost.exe]
 UDP    windows-xp:ntp         *:*                                    1036

  c:\windows\system32\WS2_32.dll

  c:\windows\system32\w32time.dll

  ntdll.dll

  C:\WINDOWS\system32\kernel32.dll

  [svchost.exe]

Membuat Snapshot

Cara lainnya yang dapat digunakan adalah dengan membuat sebuah "snapshot" terhadap semua berkas program (*.EXE, *.DLL, *.COM, *.VXD, dan lain-lain) dan membandingkannya seiring dengan waktu dengan versi-versi terdahulunya, dalam kondisi komputer tidak terkoneksi ke jaringan. Hal ini dapat dilakukan dengan membuat sebuah checksum terhadap semua berkas program (dengan CRC atau MD5 atau mekanisme lainnya). Karena seringnya Trojan dimasukkan ke dalam direktori di mana sistem operasi berada (\WINDOWS atau \WINNT untuk Windows atau /bin, /usr/bin, /sbin, /usr/sbin dalam keluarga UNIX), maka yang patut dicurigai adalah berkas-berkas yang berada di dalam direktori tersebut. Banyak berkas yang dapat dicurigai, khususnya berkas-berkas program yang memiliki nama yang mirip dengan berkas yang "baik-baik" (seperti "svch0st.exe", dari yang seharusnya "svchost.exe", sebuah berkas yang dijalankan oleh banyak layanan sistem operasi Windows) dapat dicurigai sebagai Trojan Horse.

Antivirus

Cara terakhir adalah dengan menggunakan sebuah perangkat lunak antivirus, yang dilengkapi kemampuan untuk mendeteksi Trojan yang dipadukan dengan firewall yang memonitor setiap transmisi yang masuk dan keluar. Cara ini lebih efisien, tapi lebih mahal, karena umumnya perangkat lunak antivirus yang dipadukan dengan firewall memiliki harga yang lebih mahal dibandingkan dengan dua cara di atas (yang cenderung "gratis"). Memang, ada beberapa perangkat yang gratis, tapi tetap saja dibutuhkan waktu, tenaga dan uang untuk mendapatkannya (mengunduhnya dari Internet)

0 komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)