kuliah ke-8 malware (virus) &...
TRANSCRIPT
Manajemen Keamanan Informasi
Kuliah ke-8
Malware (Virus) & Antivirus
Oleh : EBTA SETIAWAN
www.fti.mercubuana-yogya.ac.id
Introduction to Malware
Malware = Malicious Software
Malware adalah software yang digunakan atau dibuat
penyerang untuk mengganggu/mengacaukan operasi
komputer, mengambil data sensitif, mendapatkan akses
ke komputer, atau hal yg membahayakan lainnya.
• Malware dapat berbentuk
code, script, konten aktif, dan
software
• 'Malware' adalah istilah umum
yang digunakan untuk berbagai
bentuk software/aplikasi
perusak
Perkembangan Malware
Perkembangan Malware
Desember 1984 terdeteksi hanya sekitar 12 total
malware, tahun 1999 untuk Windows terdeteksi sekitar
579,026 malware.
Terus meningkat, pada tahun 2006 sekitar 2.8 juta, dan
tahun 2007 menjadi 8.7 juta ( tahun ketika windows
Vista di rilis dan penyebaran Windows XP sangat besar
sampai 400 juta copy)
4 tahun kemudian, 2011 membengkak menjadi sekitar
64.8 juta. Desember 2012 lebih dari 95juta.
Selama tahun 2012, ada tambahan malware baru sekitar
2-3juta/bulan.
Perkembangan Malware baru tiap bulan
Mengapa Perlu dipelajari?
Penting bagi kita untuk mempelajari seperti apa dan
bagaimana kerjanya, sehingga kita bisa mencegah
malware merusak atau paling tidak meredam efeknya.
◦ Bagaimana malware mengambil alih sistem
◦ Bagaimana malware masuk/menyusup ke komputer
◦ Bagaimana malware menyebar
◦ Bagaimana malware menyembunyikan diri
◦ Bagaimana mengenali malware
◦ Bagaimana mendeteksi malware
◦ Bagaimana menghentikan/menghapus malware
◦ Bagaimana mencegah malware masuk
Berbagai Jenis Malware
Malware adalah istilah umum dan digunakan untuk
berbagai jenis program berbahaya. Jenis-jenis malware
antara lain :
◦ Virus
◦ Worm
◦ Trojan ( Trojan horses)
◦ Rootkit
◦ Spyware
◦ Exploits
◦ Adware
Pandalabs 7-Aug-2012
VIRUS Komputer
Program komputer yang dibuat untuk menginfeksi file,
memasukkan kode tertentu dalam file yang di infeksi dan
memperbanyak diri sendiri.
Efek bisa bermacam macam, mulai dari performa yang
lambat, kerusakan sistem sampai data hilang.
Mirip dengan istilah Virus dalam bidang Biologi, yang
masuk ke tubuh dan menginfeksi
Virus biasanya menginfeksi file executable (EXE, COM)
atau Portable Executable (PE) : DLL, OCX, SCR, SYS,
tetapi bisa juga file dokumen semperti PDF dan HTML
A CIH Story
Muncul pertama kali di Taiwan pada tahun 1998, CIH dikenal
sebagai salah satu virus yang paling berbahaya.
Dibuat oleh salah satu mahasiswa Tatung University (Taiwan),
Cheng Ing-hau, atas tantangan dari sebuah software antivirus.
Sekitar 60 juta komputer didunia terinfeksi virus ini dan
mengakibatkan kerugian sekitar 1 Milyar dollar.
Virus menginfeksi file executable Windows 95,98 dan ME dan
mampu aktif di memory dan menginfeksi file lainnya.
Setelah virus aktif, virus akan menumpuk data di hardisk,
sehingga rusak termasuk mampu menumpuk BIOS sehingga
tidak bisa booting.
Ukuran virus hanya 1024 bytes ( 1 KB )
A CIH Story – cont
Ketika virus menyebar di kampus, Chen Ing-hau meminta
maaf dan membuatkan antivirus untuk publik. Karena tidak
ada korban yang menuntut secara hukum, perkara ini tidak
bisa di proses pengadilan.
Saat ini CIH tidak menyebar luas seperti dulu karena
kesadaran yg lebih tinggi dan lagi hanya berefek di Windows
95,98 dan ME
Tahun 2001 dan 2002 modifikasi CIH baru muncul, tetapi
bukan merupakan ancaman serius
• Beberapa tahun kemudian,
penulis virus CIH bekerja
sebagai developer di Gigabyte
Communication
Target Sasaran Virus
Binary executable files ( EXE, COM DLL, SYS, OCX, dll)
Volume Boot Record dari Floppy disk dan Partisi Hardisk
Master Boot Record (MBR) dari Hardisk
Berbagai jenis script ( misalnya: batch files /.bat, VBScript/.vbs, Shell
script dan sejenisnya)
Script sistem spesifik seperti Autorun.inf ( file yang digunakan
windows untuk menjalankan file secara otomatis di USB, CD, DVD
atau media eksternal lainnya)
Dokumen yang mendukung penggunaan Macro ( Ms Word, Excel,
AmiPro, Access database dll)
Celah keamanan Cross-site scripting dalam aplikasi berbasis web
Berbagai file lain yang terdapat celah keamanan seperti buffer
overflow, format string dsb
Teknologi (teknik-teknik) Virus
Membuat tanggal file modified tetap sama
Menginfeksi file tanpa merusak file atau
menambah ukuran file. Virus menggunakan area
tidak terpakai di file EXE, seperti misalnya CIH
(karena ukurannya hanya 1 KB).
Untuk menghindari dirinya di tutup/close, virus
terlebih dahulu merusak/mematikan aplikasi
keamanan (antivirus, firewall dll)
Polymorphic code, untuk menghindari deteksi
dari antivirus
Teknologi (teknik-teknik) Virus – cont
Untuk menghindari deteksi oleh pengguna
komputer, berbagai cara digunakan oleh virus :
◦ Menggunakan icon dokumen (word, excel, access dll)
◦ Menyembunyikan ekstensi asli virus. Misalnya sality.exe
dinamakan sality.doc.exe, sehingga ketika ekstensi file
tidak ditampilkan, nama file terlihat sality.doc
◦ Menduplikasi diri dengan nama file yang sudah ada dan
menghapus/menyembunyikan file/dokumen asli
Applikasi online rentan serangan
Teknik Penyebaran Virus
Removable Storage
◦ Autorun.inf di CD, DVD ROM, USB Flashdisk, HDD eksternal
◦ Celah keamanan di shortcut windows.
E-Mail & Download
◦ Email yang menyertakan attachment baik dalam zip atau lainnya
◦ konten berisi link tidak jelas
Shared Directories
◦ Virus mudah menempatkan file di shared directories
Download file dari file sharing
◦ Torrent, 4shared, mediafire, hotfile, dll
Worms
Worm merupakan program komputer yang membuat
duplikasi dirinya sendiri di tempat-tempat yang berbeda
untuk menyebar di banyak komputer.
Perbedaan dari virus, bahwa worm tidak menginfeksi
atau menginjeksi file
Efek bisa sama dengan virus, merusak, menghapus file dll.
Tujuan utama untuk menyebar dan menginfeksi
komputer sebanyak mungkin
Teknik penyebaran, menyembunyikan diri seperti teknik
virus.
Perkembangan saat ini worm banyak digunakan sebagai
botnets, yang mengontrol ribuan komputer di Dunia
Trojan (Horse)
Program berbahaya yang menyerupi file resmi atau
membantu tetapi sebenarnya tujuan utama agar di
install/jalankan sehingga memungkinkan komputer bisa
diakses dari luar (jaringan/internet)
Trojan tidak menginfeksi file seperti halnya virus, serta
tidak banyak menduplikasi diri.
Mengambil istilah dari Trojan Horse pada jaman Yunani,
dengan bertindak sebagai hadiah yang tidak berbahaya.
Padahal ingin agar pengguna menginstallnya
Tujuan dan Penggunaan Trojan
Menggunakan komputer sebagai bagian dari botnet
(menyebarkan spam otomatis, menyebarkan DDoS)
Pencurian uang
Pencurian data ( seperti passeord atau informasi kartu
kredit)
Installasi software termasuk malware pihak ketiga
Download dan upload file di komputer pengguna
Modifikasi atau penghapusan file
Keystroke logging (keylogger)
Mengawasi tampilan (screen) pengguna
Membuat komputer crash
Trojan Horse
Rootkits (Malware)
Merupakan program yang didesign untuk
menyembunyikan object seperti processes, file atau
entri Windows Registry
Jenis ini sebenarnya tidak berbahaya, tetapi dimanfaatkan
oleh pembuat malware untuk menyembunyikan langkah
dan menginfeksi sistem.
Rootkit memungkinkan malware tetap tersembunyi dan
tidak terdeteksi.
Spyware (Malware)
Jenis malware yang terinstall di komputer yang
mengumpulkan informasi tentang pengguna dan
memonitor tingkah laku menggunakan komputer atau
internet.
Biasanya tersembunyi lokasinya dan sulit di deteksi,
contoh : Keylogger
Spyware terkadang terinstall bersama software
terpercaya sebagai bundle tambahan.
Malware Lainnya
Exploit
◦ Merupakan teknik atau program yang memanfaatkan
celah keamanan dalam protokol komunikasi tertentu,
sistem operasi atau kelengkapan IT lainnya.
Adware
◦ Program, script atau kode yang menampilkan iklan
produk tertentu baik produk sendiri atau pihak ketiga
◦ Terkadang jenis ini masuk ke kategori Spyware
ANTIVIRUS
Antivirus (anti-virus) merupakan software yang
digunakan untuk mencegah, mendeteksi atau
menghapus malware seperti: virus, adware,
worms, trojan dsb.
3 tugas utama :
• Detection/Identification
• Prevention (pencegahan)
• Disinfection (menghapus
atau cleaning malware)
Identification/Detection Method
Signature based detection
◦ Antivirus membuat database yang berisi virus signatures, dan
membandingkan dengan file yg discan.
◦ Virus Signature = pola biner tertentu didalam kode virus.
◦ Karena virus signatures baru didapat setelah ada sample virus,
maka kadang tidak efektif untuk virus baru.
◦ Tidak efektif sejak munculnya polimorphic virus, yang mampu
memodifikasi dirinya sendiri sehingga signature senantiasa
berbeda
Heuristic-based detection
◦ Deteksi berdasarkan tingkah laku virus
◦ Mampu mendeteksi virus baru yang belum ada di database
Referensi & Bahan Bacaan
http://en.wikipedia.org/wiki/Malware
http://www.pandasecurity.com/homeusers/security-
info/types-malware/
http://en.wikipedia.org/wiki/Antivirus